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为 何 编写 本 书 


Linux 作为 一 种 自由 和 开放 源码 的 类 Unix 操作 系统 ， 自 从 其 诞生 以 来 就 受到 了 众多 开 
发 人 员 和 企业 用 户 的 追捧 。 其 发 展 虽 然 源 于 Unix 操作 系统 ， 但 适用 范围 和 影响 已 经 远 远 
超过 Unix 系统 本 身 。 其 流行 的 主要 原因 是 因为 它 具 有 许多 诱 人 之 处 ， 包 括 但 不 限于 以 下 
特点 : 
完全 免费 。 
完全 兼容 POSIX 1.0 标准 。 

多 用 户 、 多 任务 。 
良好 的 用 户 界面 。 
丰富 的 网 络 功能 。 
可 靠 的 安全 、 稳 定性 能 。 
支持 多 种 平台 。 

现在 ， 采 用 Linux 作为 操作 系统 的 超级 电脑 也 越 来 越 多 。 根 据 2008 年 11 月 的 
TOP500 超级 电脑 列表 ， 现 时 世上 最 快速 的 超级 电脑 是 使 用 Linux 作为 其 操作 系统 的 。 在 
列表 的 500 套 系统 里 ， 采 用 Linux 作为 操作 系统 的 占 了 439 套 ( 即 87.8%)。 

可 以 说 ， 不 管 是 在 商用 领域 还 是 在 民用 领域 ，Linux 都 展现 出 强劲 的 实力 。 而 学 习 
Linux 首先 需要 学 习 Linux 的 系统 管理 ， 这 也 正 是 撰写 本 书 的 初衷。 


本 书 内 容 特色 
1. 内 容 新 颖 、 知 识 全 面 


全 书 从 Linux 的 基础 知识 开始 ， 逐 渐 引 导读 者 了 解 Linux 操作 系统 的 基础 知识 ， 详 细 
讲述 了 Linux 系统 的 基本 操作 命令 之 后 ， 又 详细 介绍 了 各 种 Linux 服务 器 的 搭建 方法 ， 做 
到 了 知识 的 全 覆盖 。 

全 书 每 一 章 都 目标 明确 、 重 点 突出 ， 开 篇 给 出 了 本 章 的 学 习 要 点 和 主要 内 容 ， 能 够 帮 
助 读者 全 面 了 解 学 习 重点 ， 制 订 学 习 计 划 。 

本 书 内 容 由 浅 入 深 ， 从 基础 知识 讲 起 ， 对 读者 的 专业 知识 没有 要 求 ， 为 了 避免 学 习 的 
枯燥 性 ， 全 书 采用 图 文 并 茂 的 形式 ， 以 提高 读者 学 习 的 兴趣 。 


2. 层次 分 明 ， 学 习 轻 松 


本 书 结合 作者 多 年 的 Linux 使 用 经 验 ， 借 鉴 了 许多 资深 Linux 系统 管理 员 的 经 验 教 
训 ， 从 基本 操作 到 服务 器 架设 ， 全 面 介 绍 了 Linux 系统 管理 的 方方面面 ， 其 内 容 翔实 、 层 
次 分 明 ， 为 想 要 成 为 Linux 系统 管理 员 的 读者 提供 了 很 好 的 参考 。 
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3. 通俗 易 懂 ， 针 对 性 强 


本 书 适合 想 要 学 习 Linux 使 用 的 读者 ， 同 时 也 适合 想 要 进一步 掌握 Linux 管理 技巧 的 
读者 。 本 书 并 没有 运用 过 多 的 专业 术语 ， 而 是 采用 通俗 易 懂 的 文字 、 清 晰 形象 的 图 片 ， 便 
于 读者 理解 和 阅读 ， 从 而 帮助 读者 快速 掌握 相关 的 技能 和 技巧 。 

本 书 内 容 丰 富 全 面 ， 对 基本 概念 的 讲解 非常 细致 ， 深 入 浅 出 。 各 种 功能 和 命令 的 介绍 ， 
都 配 以 大 量 的 实例 操作 和 详尽 的 解析 。 本 书 是 初学 者 学 习 Linux 不 可 多 得 的 一 本 好 书 。 


适用 读者 群 


Linux 操作 系统 的 初学 者 。 

热爱 开源 软件 以 及 Linux 使 用 的 用 户 。 
可 作为 大 中 专 院 校 或 者 社会 培训 的 教材 。 
适用 于 Linux 服务 器 管理 员 的 参考 用 书 。 
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Linux 操作 系统 是 一 种 免费 、 开 源 的 Unix 类 操作 系统 ， 它 继承 
了 Unix 功能 强大 、 性 能 稳定 等 的 特点 ， 具 有 良好 的 硬件 平台 移植 
性 ， 是 现 阶段 服务 器 级 操作 系统 的 首选 。 在 本 章 中 ， 我 们 主要 介绍 
有 关 Linux 操作 系统 的 基础 知识 ， 包 括 Linux 的 起 源 、Linux 的 发 展 
历史 、Linux 的 内 核 及 桌面 环境 以 及 Linux 的 发 行 版 本 等 。 
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1.1 Unix 发 展 历史 


要 了 解 Linux 的 发 展 历史 ， 不 得 不 先 了 解 Unix 操作 系统 的 发 展 历史 。 
1.1.1 Unix 简介 


Unix 操作 系统 是 美国 AT&T 公司 于 1971 年 在 PDP-11 上 运行 的 操作 系统 。 具 有 多 用 
户 、 多 任务 的 特点 ， 支 持 多 种 处 理 器 架构 ， 最 早 由 肯 ，。 汤 普 逊 (Kenneth Lane Thompson)、 
丹尼斯 。 里 奇 (Dennis MacAlistair Ritchie) 和 Douglas Mcllroy 于 1969 年 在 AT&T 的 贝尔 实 
验 室 开 发 的 。 


1.1.2 Unix 发 展 历程 


早期 的 Unix 操作 系统 的 源 代码 是 可 以 免费 获得 的 ， 但 是 当 AT&T 发 布 Unix 7 的 时 
候 ， 它 认识 到 了 Unix 的 商业 价值 ， 于 是 在 发 布 的 版 本 许可 证 中 ， 不 再 允许 大 学 在 开设 的 
课程 中 讲授 其 源 代码 。 随 后 ，AT&T 基于 版 本 7 开发 了 Unix System 了 H 的 第 一 个 版 本 ， 这 
个 版 本 成 为 了 真正 的 商业 版 本 ， 仅 供出 售 。 

在 Unix 发 展 走向 商业 化 的 过 程 中 ， 为 了 对 抗 商业 化 所 带 来 的 种 种 限制 和 诸多 问 
题 ， 柏 克利 大 学 在 1978 年 以 Unix 第 六 版 为 基础 ， 开 发 了 仍然 开放 源码 的 操作 系统 
1 BSD(First Berkeley Software Distribution)， 与 AT&T 的 Unix 形成 了 分 庭 抗争 的 局 面 。 但 
是 ， 随 着 USL(Unix Systems Laboratories，AT&T 的 附属 公司 ) 状 告 BSD 旨 窃 其 源码 ， 致 使 
BSD 操作 系统 的 发 展 陷于 停滞 ， 也 正 是 在 此 阶段 ，Linux 这 一 开源 因而 没有 版 权 问 题 的 操 
作 系 统 才 得 以 发 展 、 壮 大 。 

随 着 1994 年 USL 与 BSD 的 版 权 诉 讼 案 了 结 ，BSD Unix 才 再 一 次 走向 了 复兴 的 道 
路 。 随 后 ，BSD 的 发 展 也 开始 多 元 化 ， 相 继 产生 了 多 种 可 以 满足 不 同 需求 的 操作 系统 ， 
如 FreeBSD、OpenBSD 和 NetBSD 等 。 


1.1.3 Unix 版 本 介绍 


现 阶 段 比 较 著 名 的 Unix 版 本 有 : 

@ ”Solaris 是 SUN 公司 研制 的 类 Unix 操作 系统 。 目 前 最 新 版 本 为 Solaris 10。 早 期 
的 Solaris 是 由 BSD Unix 发 展 而 来 。 这 是 因为 SUN 公司 的 创始 人 之 一 ， 比 
尔 。 乔 伊 (Bil Joy) 来 自 伯 克利 大 学 (U.C. Berkeley)。 但 是 随 着 时 间 的 推移 ，Solaris 
在 接口 上 正在 逐渐 向 System V 靠拢 。 目 前 ，Solaris 仍旧 属于 私有 软件 。 

@ Mac OS 是 苹果 公司 开发 的 专属 操作 系统 。Mac OS X 于 2001 年 首次 在 市 场 上 推 
出 ， 并 从 2002 年 起 随 麦 金 塔 电脑 开始 发 售 。 它 是 一 套 以 Unix 为 基础 的 操作 系 
统 ， 包 含 两 个 主要 的 部 分 : 核心 名 为 Darwin， 是 以 FreeBSD 源 代码 和 Mach 微 
核心 为 基础 ， 由 苹果 公司 和 独立 开发 者 社区 协力 开发 ， 一 个 由 苹果 电脑 开发 ， 名 
为 Aqua 的 专 有 版 权 的 图 形 用 户 界 面 。 
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ii [二 二 玫 站 于 于 主攻 首 主 业 才 提要 要 要 要 汪汪 


1-1 Unix 发 展 图 谱 


Unix 是 第 三 次 工业 革命 中 计算 机 软件 领域 最 具 代 表 性 的 产物 。 在 这 近 40 年 中 ， 由 
Unix 造成 的 影响 是 最 有 深远 意义 的 。 其 遵循 的 原则 一 直 都 是 KISS(Keep It Simple， 
Stupid， 尽 量 简单 )。 不 能 不 说 ，AT&T 虽然 发 展 了 Unix， 但 今天 Unix 的 混乱 局 面 也 和 
AT&T 有 着 直接 关系 。 但 反 过 来 说 ， 如 果 没 有 AT&T 的 反面 教材 ， 今 天 的 Linux 很 有 可 
能 也 不 会 出 现 。AT&T 究竟 是 限制 了 Unix 的 发 展 ， 还 是 以 反面 示例 促进 了 Unix 社区 ， 已 
不 好 评说 。 今 天 ， 软 件 是 商业 化 好 还 是 开源 好 的 争论 还 在 继续 ， 纵 观 这 几 十 年 来 Unix 的 
发 展 历 史 ，Linux 划时代 地 出 现 ， 相 信 每 个 人 心中 会 得 出 自己 的 结论 。 不 管 怎么 样 ，Unix 
的 经 历 对 计算 机 领域 贡献 的 不 单单 是 技术 ， 它 给 我 们 提供 了 丰富 而 生动 的 教材 。 特 别 是 
Unix 引发 的 哲学 ， 让 今天 的 我 们 依然 受益 菲 浅 。 


1.2 Linux 发 展 历史 


在 了 解 Linux 的 发 展 过 程 之 前 ， 我 们 必须 首先 提 及 另 一 个 操作 系统 一 一 Minix， 其 名 
称 来 源 于 Mini-Unix 的 缩写 。 在 上 节 中 我 们 讲 到 ， 当 AT&T 发 行 Unix 7 版 本 时 ， 不 再 允 
许 各 大 学 在 其 课程 中 讲授 Unix 的 源 代码 。 为 了 改变 这 种 局 面 ， 任 职 于 荷兰 阿姆斯特丹 
Vrije 大 学 计算 机 科学 系 的 Andrew S. Tanenbaum 教授 编写 了 一 个 与 Unix 完全 兼容 ， 而 使 
用 全 新 内 核 的 操作 系统 ， 并 命名 为 Minix。Minix 系统 充分 继承 了 Unix 的 KISS 原则 ， 非 
常 短小 精 悍 ， 方 便 用 于 教学 。 但 也 正 是 因为 这 个 原因 ，Minix 系统 并 不 适合 商业 用 途 。 而 
随 着 Minix 用 户 的 规模 和 使 用 途径 的 不 断 增多 ， 人 迫切 需要 一 种 同样 类 似 于 Unix， 而 又 能 
够 为 大 多 数 人 服务 ， 可 以 自由 添加 新 特性 的 操作 系统 ， 正 是 在 这 种 环境 下 ，Linux 操作 系 
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统 诞生 了 。 

1990 年 ， 劳 兰 学 生 林 纳 斯 。 本 纳 第 克 特 。 托 瓦 兹 (Linus Benedict Torvalds) 开 始 编写 一 
个 类 Minix 的 操作 系统 ， 并 且 在 comp.os.minix 新 闻 组 中 发 布 了 这 条 消息 ， 很 快 ， 互 联网 
中 众多 高 水 平 的 程序 员 就 加 入 了 这 个 操作 系统 的 开发 过 程 。1991 年 10 月 5 日 ，Linus 正 
式 发 布 了 Linux 0.0.2 版 本 ， 标 志 着 Linux 操作 系统 的 诞生 。 之 后 ，Linux 操作 系统 继续 借 
助 互 联网 的 力量 迅速 壮大 ， 越 来 越 多 的 程序 员 加 入 到 了 这 个 完全 开源 并 且 自 由 扩散 的 操作 
系统 的 开发 中 ， 到 1993 年 底 ，Linux 1.0 终于 发 布 了 ， 这 已 经 是 一 个 功能 完备 的 操作 系统 
了 ， 其 内 核 写 得 紧凑 、 高 效 ， 可 以 充分 发 挥 硬件 的 性 能 。 

Linux 最 初 是 运行 在 X86 硬件 环境 中 的 ， 但 随 着 使 用 得 越 来 越 广泛 ， 从 Linux 1.3 版 
本 开始 向 其 他 硬件 平台 移植 。 现 在 Linux 已 经 可 以 在 几乎 所 有 可 见 的 主流 硬件 平台 中 运 
行 ， 并 且 襄 括 了 从 低 端 到 高 端的 所 有 应 用 。 

从 一 开始 ，Linus 就 决定 Linux 自由 扩散 并 且 遵 循 GPL 原则 ， 但 是 又 不 排斥 商家 的 参 
与 ， 于 是 在 Linux 上 开发 商业 软件 使 Linux 开始 了 新 的 飞跃 。 出 现 了 很 多 Linux 的 发 行 版 
本 ， 如 大 名 易 易 的 RedHat 系列 ，Suse、Slackware、OpenLinux 等 众多 版 本 ， 而 且 ， 为 了 
规避 版 权 问 题 ， 很 多 公司 还 将 其 他 Unix 平台 的 软件 移植 到 Linux 上 来 ,包括 IBM、 
Intel、Oracle、Sysbase、Corel、CA、Novell 等 众多 大 牌 厂商 都 宣布 支持 Linux。 众 多 商家 
的 加 入 也 弥补 了 自由 软件 的 不 足 和 发 展 的 障碍 ， 使 Linux 得 以 迅速 普及 。 


[对 提示 : ”GPL(General Public Licence) 是 一 种 版 权 协议 ， 它 允许 公众 享有 运行 、 复 制 软 
件 的 自由 ， 发 行 传播 软件 的 自由 ， 获 得 软件 源码 的 自由 ， 改 进 软件 并 将 自己 
做 出 的 改进 版 本 向 社会 发 行 传播 的 自由 。 


1.3 ”Linux 内 核 与 桌面 环境 


内 核 是 整个 Linux 系统 的 心脏 ， 是 运行 程序 和 管理 磁盘 、 打 印 机 等 硬件 设备 的 核心 程 
序 ， 它 接受 用 户 的 命令 并 执行 。 

图 形 操作 系统 中 ， 一 个 桌面 环境 (Desktop Environment， 有 时 称 为 桌面 管理 器 ) 为 计算 
机 提供 一 个 图 形 用 户 界面 (GUD。 这 个 名 称 来 自 桌面 比拟 ， 对 应 于 早期 的 文字 命令 行 界面 
(CLD。 一 个 典型 的 桌面 环境 提供 图 标 、 视 窗 、 工 具 栏 、 文 件 夹 、 壁 纸 以 及 像 拖 放 这 样 的 
功能 。 整 体 而 言 ， 桌 面 环境 在 设计 和 功能 上 的 特性 ， 赋 予 了 它 与 众 不 同 的 外 观 和 感觉 。 


1.3.1 Linux 内 核 


总 体 来 说 ，Linux 的 内 核 主要 包含 以 下 功能 : 存储 管理 、 中 断 异 常 与 系统 调用 、 进 
程 与 进程 调度 、 文 件 系统 、 进 程 间 通信 、 设 备 驱 动 、 多 处 理 器 系统 结构 、 系 统 引 导 与 初始 
化 等 。 

Linux 内 核实 现 了 很 多 重要 的 体系 结构 属性 。 在 不 同 的 层次 上 ， 内 核 被 划分 为 多 个 子 
系统 。Linux 也 可 以 看 作 是 一 个 整体 ， 因 为 它 会 将 所 有 这 些 基本 服务 都 集成 到 内 核 中 。 这 
与 微 内 核 的 体系 结构 不 同 ， 后 者 会 提供 一 些 基本 的 服务 ， 例 如 ， 通 信 、IO、 内 存 和 进程 
管理 ， 更 具体 的 服务 都 是 插入 到 微 内 核 层 中 的 。 
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随 着 时 间 的 流逝 ，Linux 内 核 在 内 存 和 CPU 使 用 方面 具有 较 高 的 效率 ， 并 且 非 常 稳 
定 。 但 是 对 于 Linux 来 说 ， 最 为 有 趣 的 是 在 这 种 复杂 的 条 件 下 ， 依 然 具 有 良好 的 可 移植 
性 。Linux 编译 后 可 在 大 量 处 理 器 和 具有 不 同体 系 结构 约束 和 需求 的 平台 上 运行 。Linux 
可 以 在 一 个 具有 内 存 管理 单元 (MMU) 的 处 理 器 上 运行 ， 也 可 以 在 那些 不 提供 具有 内 存 管 
理 单元 的 处 理 器 上 运行 。Linux 内 核 的 uClinux 移植 提供 了 对 非 内 存 管理 单元 的 支持 。 


1.3.2 ”Linux 内 核 版 本 


Linux 核心 的 开发 和 规范 一 直 是 由 Linux 社区 控制 着 ， 版 本 也 是 唯一 的 。 实 际 上 ， 操 
作 系 统 的 内 核 版 本 指 的 是 在 Linus 本 人 领导 下 的 开发 小 组 开发 出 的 系统 内 核 的 版 本 号 。 自 
1994 年 3 月 14 日 发 布 了 第 一 个 正式 版 本 Linux 1.0 以 来 ， 每 隔 一 段 时 间 就 有 新 的 版 本 或 其 
修订 版 公布 。 

Linux 内 核 版 本 发 布 的 官方 网 站 是 http://www.kemel.org， 新 版 本 的 发 布 主 要 分 为 两 种 
形式 : 一 种 是 Full Source 版 本 ; 另 一 种 是 Patch 版 本 ， 即 版 本 补丁 。Full Source 版 本 体积 
比较 大 ， 一 般 是 tar.gz 或 者 .bz2 文件 ， 两 者 分 别 是 gzip 和 bzip2 的 压缩 文件 ， 使 用 时 需要 
先 解压 缩 ， 而 Patch 版 本 比较 小 ， 一 般 只 有 几 十 KB 到 几 百 KB， 但 是 Patch 文件 是 针对 特 
定 版 本 的 ， 用 户 需要 找到 对 应 的 版 本 才能 使 用 。 

一 般 的 ， 用 户 可 以 从 Linux 内 核 版 本 号 来 区 分 系统 是 Linux 稳定 版 还 是 测试 版 。 以 版 
本 2.4.0 为 例 ，2 代表 主 版 本 号 ，4 代表 次 版 本 号 ，0 代表 改动 较 小 的 末 版 本 号 。 在 版 本 号 
中 ， 序 号 的 第 二 位 为 偶数 的 版 本 表明 这 是 一 个 可 以 使 用 的 稳定 版 本 ， 如 2.2.5; 而 序号 的 
第 二 位 为 奇数 的 版 本 一 般 有 一 些 新 的 功能 加 入 ， 是 不 稳定 的 测试 版 本 ， 如 2.3.1。 这 样 ， 稳 定 
版 本 号 来 源 于 上 一 个 测试 版 升级 版 本 号 ， 而 一 个 稳定 版 本 发 展 到 完全 成 熟 后 就 不 再 发 展 。 

表 1-1 给 出 了 自 Linux 出 现 以 来 的 重要 版 本 号 及 其 更 新 内 容 。 


表 1-1 Linux 内 核 版 本 号 及 发 展 历程 


内 核 版 本 号 时 间 内 核发 展 及 更 新 内 容 

0.00 1991.2.4 两 个 进程 分 别 显示 AAA 和 BBB 

0.01 1991.9 第 一 个 正式 向 外 公布 的 Linux 内 核 版 本 
Linus Torvalds 将 0.02 内 核 版 本 发 布 到 了 Minix 新 闻 组 ， 很 快 就 得 

0.02 1991.10.5 到 了 反应 ， 在 很 多 热心 支持 者 的 帮助 下 ， 推 出 了 Linux 的 第 一 个 稳 
定 工 作 版 本 

0.03 1991.10.5 

i dD Linux 0.10 版 本 发 布 ，0.11 版 本 随后 在 1991 年 12 月 推出 ， 当 时 它 
被 发 布 在 Intemet 上 ， 供 人 们 免费 下 载 使 用 

0.11 1991.12.8 基本 可 以 正常 运行 的 内 核 版 本 

0.12 1992.1.15 主要 加 入 对 数学 协 处 理 器 的 软件 模拟 程序 

0.95 1992.3.8 开始 加 入 虚拟 文件 系统 思想 的 内 核 版 本 

0.96 1992.5.12 开始 加 入 网 络 支持 和 虚拟 文件 系统 

0.97 1992.8.1 
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续 表 
内 核 版 本 号 时 间 内 核发 展 及 更 新 内 容 
0.98 1992.9.29 
0.99 1992.12.13 
本 a Linux 1.0 版 本 内 核发 布 ， 使 用 它 的 用 户 越 来 越 多 ， 而 且 Linux 系 
统 的 核心 开发 队伍 也 建 起 来 
访 19953.7 
2.0 1996.2.9 
2.2 1999.1.26 
2.4 2001.1.4 Linux 2.4.0 版 本 内 核发 布 
Linux 2.6 版 本 内 核发 布 ， 与 2.4 内 核 版 本 相 比 ， 它 在 很 多 方面 进 
Be di 行 了 改进 ， 如 支持 多 处 理 器 配置 和 64 位 计算 ， 它 还 支持 实现 高 效 
率 线 和 处 理 的 本 机 POSIX 线程 库 (NPTL)。 实 际 上 ， 性 能 、 安 全 
性 和 驱动 程序 的 改进 是 整个 2.6.x 内 核 的 关键 
Linux 2.6.15 版 本 内 核发 布 。 它 对 IPv6 的 支持 在 这 个 内 核 中 有 了 
2:6.15 2006 很 大 的 改进 。PowerPC 用 户 现在 有 了 一 个 用 于 64 位 和 32 位 
PowerPC 的 泛 型 树 ， 它 使 这 两 种 架构 上 的 内 核 编辑 成 为 可 能 
改善 了 文件 系统 、 加 入 了 完整 性 检验 补丁 、TOMOYO Linux 安全 
0 doode 模块 、 可 靠 的 数据 报 套 接 字 (Datagram Socket) 协 议 支 持 、 对 象 存储 
设备 支持 、FS-Cache 文件 系统 缓存 层 、nilfs 文件 系统 、 线 程 中 断 
处 理 支 持 等 
增添 了 虚拟 化 内 存 de-duplicacion、 重 写 了 writeback 代码 、 改 进 
了 Btrfs 文件 系统 、 添 加 了 ATI R600/R700 3D 和 KMS 支持 、 
2.6.32 2009.12 CFQ 低 传输 延迟 时 间 模 式 、perf timechart 工具 、 内 存 控制 器 支持 
soft limits、 支 持 S+Core 架构 、 支 持 Intel Moorestown 及 其 新 的 
固件 接口 、 支 持 运 行 时 电源 管理 ， 以 及 新 的 驱动 
添加 了 Ceph 和 LogFS 两 个 新 的 文件 系统 ， 其 中 前 者 为 分 布 式 的 文 
件 系统 ， 后 者 是 适用 于 Flash 设备 的 文件 系统 。Linux Kemel 2.6.34 
pe 0 的 其 他 特性 包括 新 的 Vhost net、 改 进 了 Btrfs 文件 系统 、 对 
Kprobes jump 进行 了 优化 、 新 的 perf 功能 、RCU lockdep、 
Generalized TIL Security Mechanism (RFC 5082) 及 privateVLAN 
proxy arp (RFC 3069) 支 持 、asynchronous 挂 起 恢复 等 
Tilera 处 理 器 架构 支持 、 新 的 文件 通知 接口 fanotify、Intel 显卡 上 
实现 KMS 和 KDB 的 整合 、 并 行 管理 工作 队列 、Intel i3/5 平台 
上 内 置 显卡 和 CPU 的 智能 电源 管理 、CIFS 文件 系统 本 地 缓存 、 
2.6.36 2010.10 


改善 虚拟 内 存 的 层级 结构 ， 提 升 桌面 操作 响应 速度 、 改 善 虚拟 内 存 
溢出 终结 器 的 算法 、 整 合 了 AppArmor 安全 模型 ( 注 : 与 SELinux 
基于 文件 的 标注 不 同 ，AppArmor 是 基于 路 径 的 ) 
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1.3.3 ”桌面 环境 


在 Linux 操作 系统 中 ， 桌 面 环 境 不 仅仅 是 一 个 简单 的 窗口 管理 器 ， 而 是 指 一 套 完整 的 
桌面 应 用 程序 套件 。 桌 面 环境 提供 一 个 功能 强大 、 界 面 友好 的 交互 环境 ， 往 往 还 包括 文件 
管理 器 、 图 形 处 理 软件 和 文字 、 表 格 处 理 软件 等 。 


1.3.4 常用 桌面 环境 介绍 


现今 主流 的 桌面 环境 有 KDE、GNOME、Xfce、LXDE 等 ， 除 此 之 外 还 有 Ambient、 
EDE、 IRIX Interactive Desktop、Mezzo、Sugar、CDE 等 。 


4.KDE 


KDE(Kool Desktop Environment) 项 目 始 建 于 1996 年 10 月 ， 相 对 于 GNOME 还 要 早 一 
些 。KDE 项 目 是 由 图 形 排 版 工具 Lyx 的 开发 者 、 一 位 名 为 Matthias Ettrich 的 德国 人 发 起 
的 ， 目 的 是 为 了 满足 普通 用 户 也 能 够 通过 简单 易 用 的 桌面 来 管理 Unix 工作 站 上 的 各 种 应 
用 软件 以 及 完成 各 种 任务 。 


2. GNOME 


GNOME， 即 GNU 网 络 对 象 模型 环境 (The GNU Network Object Model Environment)， 
GNU 计划 的 一 部 分 ， 开 放 源 码 运动 的 一 个 重要 组 成 部 分 ， 是 一 种 让 使 用 者 容易 操作 和 设 
定 电脑 环境 的 工具 。 

目标 是 基于 自由 软件 ， 为 Unix 或 者 类 Unix 操作 系统 构造 一 个 功能 完善 、 操 作 简 单 以 
及 界面 友好 的 桌面 环境 ， 它 是 GNU 计划 的 正式 桌面 。 


3. Xfce 


Xfce(XForms Common Environment) 创 建 于 2007 年 7 月 ， 类 似 于 商业 图 形 环 境 CDE， 
是 一 个 运行 在 各 类 Unix 下 的 轻 量 级 桌面 环境 。 原 作者 Olivier Fourdan 最 先 设计 Xfee 是 基 
于 XForms 三 维 图 形 库 。Xfee 设计 的 目的 是 用 来 提高 系统 的 效率 ， 在 节省 系统 资源 的 同 
时 ， 能 够 快速 加 载 和 执行 应 用 程序 。 


1.4 Linux 的 发 行 版 本 


不 同 的 系统 厂商 在 开发 Linux 时 ， 虽 然 可 能 使 用 同一 个 Linux 内 核 ， 但 为 了 确立 自己 
的 品牌 ， 都 会 使 用 不 同 的 名 称 为 这 些 发 布 的 版 本 命名 ， 这 就 是 Linux 的 发 行 版 本 。 其 中 ， 
最 著名 的 有 Red Hat 公司 的 Red Hat 系列 以 及 社区 组 织 的 Debian 系列 ， 还 有 FC 系列 、 
Ubuntu 系列 等 。 下 面 ， 我 们 就 来 简单 介绍 一 下 目前 比较 流行 的 Linux 发 行 版 本 。 


1.4.1 Red Hat 
Red Hat Linux 系统 是 美国 Red Hat 公司 的 产品 ， 是 相当 成 功 的 一 个 Linux 发 行 版 本 ， 
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也 是 目前 使 用 最 多 的 Linux 发 行 版 本 。Red Hat 因 其 易于 安装 而 闻名 ， 在 很 大 程度 上 减轻 
了 用 户 安 装 程序 的 负担 ， 其 中 Red Hat 提供 的 图 形 界面 安装 方式 非常 类 似 Windows 系统 的 
软件 安装 ， 这 对 于 那些 Windows 用 户 而 言 ， 几 乎 可 以 像 安装 Windows 系统 一 样 轻松 安装 
Red Hat 发 行 套 件 。 

Red Hat 作为 Linux 的 发 行 版 本 ， 开 放 源 代 码 是 与 其 他 操作 系统 (如 Windows 等 ) 相 比 
具有 的 先天 优势 ， 有 利于 全 世界 范围 内 的 软件 工程 师 和 相关 技术 人 员 共 同 开发 。 对 于 Red 
Hat 来 说 ， 开 放 源 代码 已 经 不 只 是 一 个 软件 模型 ， 这 正 是 Red Hat 的 商业 模式 。 因 为 Red 
Hat 坚信 只 有 协作 ， 企 业 才能 创造 出 非凡 质量 和 有 价值 的 产品 。 

在 Red Hat 公司 工作 的 300 名 工程 师 中 ， 有 6 名 来 自 全 世界 最 顶尖 的 10 名 Linux 核 
心 开 发 者 ，7 名 来 自 全 球 最 出 色 的 10 名 Linux 开发 工具 工程 师 。 全 世界 ， 也 许 只 有 Red 
Hat 公司 能 够 把 Linux 和 开源 技术 以 及 企业 级 的 培训 、 技 术 支 持 和 咨询 融合 得 如 此 美妙 。 
Red Hat 的 培训 及 认证 被 认为 是 Linux 认证 的 标准 。Certification 杂志 的 最 新 调查 显示 ， 
RHCE(Red Hat 认证 工程 师 ) 认 证 被 公认 为 是 总 体质 量 最 高 的 国际 IT 认证 。 

Red Hat 已 经 为 全 球 30 万 台 服 务 器 提供 500 万 套 软件 。 作 为 全 球 企业 最 重要 的 Linux 
和 开源 技术 提供 商 ，Red Hat 还 是 目前 全 球 最 先 自负 盘 亏 的 Linux 企业 ， 是 纳 斯 达 克 上 市 
公司 ， 银 行 现金 高 达 29 亿美 元 ，Red Hat 也 是 唯一 获得 全 球 项 尖 ISV( 独 立 软件 提供 商 ) 广 
泛 支 持 的 Linux 厂商 ， 是 Compaq、Dell、IBM、Intel 等 一 流 IT 企业 的 合作 伙伴 。 

实际 上 ， 除 了 Red Hat 系列 以 外 ，Red Hat 还 在 间接 地 支持 着 两 个 源 于 Red Hat 的 发 
行 版 本 : Fedora Linux 和 CentOS 。 

Fedora Linux( 第 七 版 以 前 为 Fedora Core) 由 Fedora Project 社区 开发 ， 红 帽 公司 赞助 ， 
目标 是 创建 一 套 新 颖 、 多 功能 并 且 自 由 开放 源 代码 的 操作 系统 。Fedora 基于 Red Hat 
Linux， 在 Red Hat Linux 终止 发 行 后 ， 红 帽 公司 计划 以 Fedora 来 取代 Red Hat Linux 在 个 
人 应 用 的 领域 ， 而 另外 发 行 的 Red Hat Enterprise Linux(Red Hat 企业 版 Linux，RHEL) 则 取 
代 Red Hat Linux 在 商业 应 用 的 领域 。Fedora 的 功能 对 于 用 户 而 言 ， 是 一 套 功 能 完备 、 更 
新 快速 的 免费 操作 系统 ， 而 对 赞助 者 Red Hat 公司 而 言 ， 它 是 许多 新 技术 的 测试 平台 ， 被 
认为 可 用 的 技术 最 终 会 加 入 到 Red Hat Enterprise Linux 中 。 

CentOS(Community ENTerprise Operating System) 是 来 自 于 Red Hat Enterprise Linux 依 
照 开放 源 代码 规定 释 出 的 源 代码 所 编译 而 成 。 由 于 出 自 同 样 的 源 代码 ， 因 此 要 求 对 稳定 性 
要 求 较 高 的 服务 器 以 CentOS 替代 商业 版 的 Red Hat Enterprise Linux 使 用 。 两 者 的 不 同 在 
于 CentOS 并 不 包含 封闭 源 代码 软件 。 

如 图 1-2 所 示 是 以 上 发 行 版 本 的 产品 标志 。 


si PA 
(QM redhat fedora® SEenios 


图 1-2 Red Hat、Fedora、CentOS 的 产品 标志 
1.4.2 Mandriva 
Mandriva 是 全 球 最 优秀 的 Linux 发 行 版 本 之 一 。2005 年 之 前 稳 居 Linux 排行 榜 第 一 
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名 。 它 是 目前 最 易 用 的 Linux 发 行 版 本 ， 也 是 众多 国际 级 Linux 发 行 版 本 中 唯一 一 个 默认 
即 支持 中 文 环境 的 版 本 。 它 是 法 国 Mandriva 公司 (前 身 为 Mandrake 公司 ) 开 发 的 Linux 发 
行 版 本 。Mandriva 公司 现在 仍然 是 欧洲 最 大 的 Linux 厂商 ，Mandriva Linux 的 前 身 为 著名 
的 Mandrake Linux。Mandriva(Mandrake) 项 目 是 世界 上 第 一 个 为 非 技 术 类 用 户 设计 的 易于 
使 用 、 安 装 和 管理 的 Linux 版 本 。Mandriva(Mandrake Linux) 早 期 方便 的 字体 安装 工具 和 默 
认 的 中 文 支持 ， 为 Linux 的 普及 作出 了 很 大 的 贡献 。 现 在 的 Mandriva 系统 是 由 Mandrake 
和 Conectiva 结合 发 展 而 来 的 。 

Mandriva 的 优点 : 友好 的 操作 界面 、 图 形 配置 工具 ， 庞 大 的 社区 支持 ，NTFS 分 区 大 
小 可 变更 。 

Mandriva 的 缺点 : 部 分 版 本 的 问题 较 多 ， 最 新 版 本 只 发 布 给 Mandrake 俱乐部 的 会 员 。 

如 图 1-3 所 示 的 是 Mandriva 的 产品 标志 。 


(下 Mandriva 


1-3 ”Mandriva 的 产品 标志 


1.4.3 SUSE 


SUSE 是 德国 最 著名 的 Linux 发 行 版 本 。 它 主要 针对 个 人 用 户 ， 在 最 初 发 行 时 ，SUSE 
Linux 可 以 任意 下 载 和 安装 ， 在 Novell 接手 SUSE Linux 的 开发 后 ， 又 发 展 创建 了 企业 应 
用 和 高 级 桌面 应 用 的 Linux 版 本 ， 包 括 以 下 版 本 : 

@ SUSE Linux Enterprise Server(SLES) 

@ Novell Open Enterprise Server 


© Novell Linux Desktop 

在 Novell 公司 接手 SUSE Linux 的 开发 和 发 布 进程 后 ， 它 又 资助 了 社区 开发 计划 一 一 
openSUSE 项 目 。openSUSE 项 目的 主要 目标 是 使 SUSE Linux 成 为 最 易 获 得 和 最 广泛 使 
用 的 Linux， 成 为 最 好 的 Linux 用 户 桌 面 环境 。 

SUSE 的 优点 : 专业 、 易 用 的 YaST 软件 包 管理 系 统 。 

SUSE 的 缺点 : FTP 发 布 通常 要 比 零售 版 晚 1~3 个 月 。 

SUSE 体验 软件 包 管 理 系统 : YaST (RPM)、 第 三 方 APT (RPM) 软 件 库 (Software 
Repository)。 

如 图 1-4 是 SUSE Linux 和 openSUSE 的 产品 标志 。 


CR 


SUSE. openSUSE 


图 1-4 SUSE Linux 和 openSUSE 的 产品 标志 
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1.4.4 Debian 


Debian GNU/Linux 是 1993 年 由 Ian Murdock 发 起 的 ， 受 到 当时 Linux 操作 系统 与 
GNU 软件 工程 的 影响 ， 目 标 是 成 为 一 个 公开 的 发 行 版 。Debian 从 一 个 小 型 紧密 的 自由 软 
件 黑客 (HackenD 小 组 ， 逐 渐 成 长 为 今日 庞大 且 运 作 良 好 的 开发 者 与 用 户 社 群 。 可 以 说 ， 
Debian 是 现今 为 止 最 遵循 软件 工程 项 目 规范 的 Linux 操作 系统 。 
Debian 系统 分 为 三 类 版 本 : unstable、testing、stable。 
@ unstable 是 最 新 的 测试 版 本 ,包含 很 多 最 新 的 软件 包 。 但 是 系统 也 不 太 稳定 ， 适 
合 桌面 用 户 使 用 。 

@ testing 版 本 都 经 过 unstable 的 测试 ， 相 对 比较 稳定 ， 另 外 还 支持 不 少 新 技术 。 

@ stable 版 本 适用 于 服务 器 ， 包 含 的 软件 包 大 部 分 版 本 比较 旧 ， 但 是 稳定 性 和 安全 
性 都 非常 高 。 

Debian 的 优点 : 遵循 GNU 规范 ， 完 全 免费 ， 优 秀 的 社区 资源 。 

Debian 的 缺点 : 安装 相对 较 难 ，stable 版 本 提供 的 软件 相对 过 时 。 

如 图 1-5 是 Debian 的 产品 标志 。 


debian 


图 1-5 _ Debian 的 产品 标志 
1.4.5 Ubuntu 


Ubuntu 是 一 个 以 桌面 应 用 为 主 的 Linux 操作 系统 ， 是 现在 最 流行 的 Linux 桌面 操作 系 
统 。 其 名 称 来 自 非洲 南部 祖 鲁 语 或 豪 萨 语 的 “ubuntu” 一 词 ( 译 为 吾 帮 托 或 乌 班 图 )， 意 思 
是 “人 性 ”、“ 我 的 存在 是 因为 大 家 的 存在 ”， 是 非洲 传统 的 一 种 价值 观 ， 类 似 华人 社会 
的 “仁爱 ”思想 。Ubuntu 基于 Debian 的 unstable 版 本 和 GNOME 桌面 环境 ， 与 Debian 的 
不 同 在 于 它 每 半年 会 发 布 一 个 新 版 本 。Ubuntu 的 目标 在 于 为 一 般 用 户 提供 一 个 最 新 的 ， 
同时 又 相对 稳定 的 主要 由 自由 软件 构建 而 成 的 操作 系统 。Ubuntu 具有 庞大 的 社区 力量 ， 
用 户 可 以 方便 地 从 社区 获得 帮助 。 

Ubuntu 的 安装 非常 人 性 化 ， 与 Windows 一 样 简便 易 操 作 ， 只 需要 按照 提示 一 步 步 进 
行 安装 即 可 ，Ubuntu 被 誉 为 是 对 硬件 支持 最 好 并 且 最 完善 的 Linux 发 行 版 本 之 一 ， 支 持 的 
软件 也 是 最 新 的 版 本 。 

Ubuntu 的 优点 : 为 人 气 颇 高 的 论坛 提供 优秀 的 资源 和 技术 支持 ， 具 有 固定 的 版 本 更 
新 周期 。 

Ubuntu 的 缺点 : 还 未 建立 成 熟 的 商业 模式 。 

如 图 1-6 是 Ubuntu 的 产品 标志 。 
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《ubuntu 


图 1-6 Ubuntu 的 产品 标志 


1.4.6 Gentoo 


Gentoo 是 一 个 基于 Linux 的 自由 操作 系统 ， 它 几乎 能 为 任何 应 用 程序 或 需求 自动 地 做 
出 优化 和 定制 。 追 求 极限 的 配置 、 性 能 ， 以 及 顶尖 的 用 户 和 开发 者 社区 ， 都 是 Gentoo 体 
验 的 标志 特点 。Gentoo 的 哲学 思想 是 自由 和 选择 ， 它 得 益 于 一 种 称 为 Portage 的 技术 ， 
Gentoo 能 成 为 理想 的 安全 服务 器 、 开 发 工作 站 、 专 业 桌 面 、 游 戏 系统 、 嵌 入 式 解决 方案 
或 者 别 的 用 户 环境 一 一 你 想 让 它 成 为 什么 ， 它 就 可 以 成 为 什么 。 

Gentoo 已 经 停止 发 布 新 的 编译 版 ， 最 近 一 次 发 布 的 版 本 是 10.0， 之 所 以 发 行 是 为 了 
纪念 发 行 十 周年 。 之 所 以 不 发 行 编译 版 ， 是 因为 没有 必要 ，Gentoo 不 提供 传统 意义 的 安 
装 程序 ， 他 的 安装 光盘 只 提供 一 个 Linux 环境 ， 从 分 区 、 挂 载 硬盘 、 下 载 编 译 内 核 ， 到 书 
写 Grub 等 都 需要 手动 输入 命令 行 一 步 步 来 操作 。 复 杂 的 安装 过 程 往往 会 让 很 多 新 手 觉 得 
泪 丧 ， 但 是 它 确实 能 更 好 地 帮 你 了 解 Linux 的 构建 。 

Gentoo 的 优点 : 高 度 的 可 定制 性 、 完 整 的 使 用 手册 、 优 秀 的 Portage 系统 。 

Gentoo 的 缺点 : 编译 耗 时 多 ， 安 装 速度 较 慢 。 

如 图 1-7 是 Gentoo 的 产品 标志 。 


图 1-7 Gentoo 的 产品 标志 


1.4.7 Slackware 


Slackware Linux 是 由 Patrick Volkerding 制作 的 GNU/Linux 发 行 版 ， 它 是 世界 上 使 用 
最 久 的 Linux 发 行 版 。 在 它 的 辉煌 时 期 ， 曾 经 在 所 有 发 行 版 中 拥有 最 多 的 用 户 数量 。 但 
是 ， 伴 随 着 Linux 商业 化 的 浪潮 ，Red Hat、Mandriva 和 SUSE 这 些 产品 通过 大 规模 的 商 
业 推 广 ， 占 据 了 广大 的 市 场 ， Debian 作为 一 个 社区 发 行 版 ， 也 拥有 很 大 的 用 户 群 。 相 比 之 
下 ，Slackware 的 内 敛 ， 使 得 它 从 许多 人 尤其 是 使 用 Linux 的 新 用 户 的 视野 中 消失 了 。 

但 是 ，Slackware 依然 是 一 套 先进 的 Linux 操作 系统 ， 为 易 用 性 和 高 稳定 性 双重 目标 
而 设计 ， 它 同时 向 新 用 户 和 高 级 用 户 提供 一 套 完 善 的 系统 ， 可 装备 使 用 在 从 桌面 工作 站 到 
服务 器 的 任意 系统 环境 ， 可 以 按 需 使 用 各 种 Web、FTP 和 Email 服务 器 。 
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@ ”Slackware 的 优点 : 非常 稳定 、 安 全 ， 始 终 坚 持 Unix 的 规范 。 

@ Slackware 的 缺点 : 所 有 的 配置 均 需 要 通过 编辑 文件 来 进行 ， 自 动 硬件 检测 能 力 
较 差 。 

如 图 1-8 是 Slackware 的 产品 标志 。 


LS slackware 


1-8 Slackware 的 产品 标志 


1.4.8 红旗 Linux 


红旗 Linux 是 由 北京 中 科 红 旗 软 件 技术 有 限 公司 开发 的 一 系列 Linux 发 行 版 ， 包 括 桌 
面 版 、 工 作 站 版 、 数 据 中 心服 务 器 版 、HA 集群 版 和 红旗 嵌入 式 Linux 等 产品 ， 是 中 国 较 
大 、 较 成 熟 的 Linux 发 行 版 之 一 。 

e@ ”红旗 Linux 的 优点 : 中 文 支持 能 力 优秀 ， 适 合 亚洲 人 的 使 用 习惯 ,优秀 的 服务 器 

管理 工具 。 

@ 红旗 Linux 的 缺点 ， 对 硬件 的 支持 较 差 ， 桌面 系统 软件 包 安 装 不 方便 。 

如 图 1-9 是 红旗 Linux 的 产品 标志 。 


红 访 


Linux 


图 1-9 红旗 Linux 的 产品 标志 


1.5 本 章 小 结 


本 章 首先 介绍 了 Linux 操作 系统 的 产生 环境 和 发 展 历程 ， 然 后， 介绍 了 Linux 内 核 版 
本 及 其 桌面 环境 ， 最后， 介绍 了 时 下 比较 流行 的 Linux 操作 系统 的 各 种 发 行 版 本 及 其 优 缺 
点 。 希 望 读者 通过 对 本 章 的 学 习 ， 能 够 了 解 Linux 操作 系统 的 特点 及 其 适用 的 环境 。 


1.6 课 后 习题 


1. 填空 题 
(1) Linux 操作 系统 是 一 种 免费 、 的 类 操作 系统 ， 它 继承 了 功能 
强大 、 性 能 稳定 等 特点 ， 具 有 良好 的 特性 ， 是 现 阶 段 服务 器 级 操作 系统 的 首选 。 


(2) GUI 的 含义 是 
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2. 选择 题 
(1) 以 下 不 属于 Linux 发 行 版 本 的 是 ( 。 )。 
A. RedHat B. 红旗 Linux C. Unix 


D. Windows E. Ubuntu 
(2) 以 下 属于 Unix 发 行 版 本 的 是 ( 。 )。 


A. Slackware B. Mandriva C. Minix D. MacOS 
(3) Linux 核心 的 许可 证 是 (  )。 

A. NDA B. GDP C GP D.GNU 
3. 判断 题 


(1) Linux 是 一 种 免费 的 完全 的 多 任务 操作 系统 ， 它 完全 运行 在 微 处 理 器 的 保护 模式 
下 。Linux 完全 兼容 POSIX.1 标准 。 

(2) 自由 软件 是 指 由 开发 者 提供 软件 全 部 源 代码 并 放弃 包括 版 权 在 内 的 任何 权利 ， 任 
何 用 户 都 有 权 使 有 用、 复制 、 扩 散 、 修 改 的 软件 ， 只 要 用 户 也 将 自己 修改 过 的 程序 代码 公开 
就 行 。 

4. 简 答题 


(1) 简 述 Linux 发 行 版 本 与 内 核 版 本 的 区 别 。 
(2) 简 述 Linux 的 发 展 历 史 。 


本 章 开始 介绍 Linux 服务 器 的 安装 ， 在 安装 过 程 中 我 们 通过 使 
用 VMware 虚拟 机 的 方式 安装 操作 系统 ， 这 种 方式 有 很 多 的 优点 ， 
便于 练习 和 教学 。 
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2.1 安装 前 的 准备 工作 


在 安装 Linux 服务 器 之 前 ， 我 们 首先 要 了 解 一 些 安装 前 的 准备 工作 ， 包 括 Linux 服务 
器 的 基本 硬件 要 求 ， 各 种 安装 方式 ， 以 及 如 何 制定 分 区 策略 等 。 


2.1.1 硬件 要 求 


发 布 各 种 不 同 版 本 的 Linux 操作 系统 ， 根 据 其 内 核 版 本 和 所 带 的 软件 及 其 工具 的 不 
同 ， 具 体 的 硬件 要 求 会 和 消 有 不 同 ， 但 从 总 体 上 来 说 ， 基 本 硬件 要 求 如 下 。 

@ CPU: Itel 386 及 以 上 的 处 理 器 。 

@ ”内 存 : 至 少 64MB， 推 荐 使 用 128MB 或 者 更 多 。 

@ 硬盘: 系统 分 区 需要 分 配 5 一 8GB 的 空闲 空间 ， 例 如 Red Hat Enterprise Linux 5 

(RHEL5) 完 全 安装 需要 6 一 7GB 空间 。 

e@ 显卡: VGA 显卡 。 

@ ”光驱 : CD-ROM 或 者 DVD-ROM( 根 据 安装 介质 的 不 同 )。 

@ 其 他 设备 : 声卡 、 网 卡 等 。 

如 果 使 用 虚拟 机 的 方式 安装 Linux， 对 CPU 以 及 内 存 的 要 求 会 更 高 一 些 。 


2.1.2 安装 方法 


Linux 有 许多 安装 方法 ， 可 以 通过 各 种 方式 检索 安装 文件 。 例 如 ， 如 果 我 们 只 在 一 台 
服务 器 中 安装 Linux 操作 系统 ， 那 么 使 用 光盘 安装 是 比较 合适 的 方法 ， 因 为 它 需 要 的 安装 
时 间 最 短 。 然 而 ， 如 果 我 们 需要 在 一 个 网 络 中 的 上 百 台 服务 器 中 安装 Linux 操作 系统 ， 那 
么 我 们 可 以 将 必需 的 文件 组 织 起 来 建立 一 个 集中 式 安装 源 ， 这 样 就 不 需要 在 每 台 服务 器 中 
反复 地 插入 、 取 出 光盘 ， 从 而 大 大 节约 管理 员 的 时 间 。 要 在 所 有 的 系统 上 同步 安装 ， 可 以 
用 PXE 启动 所 有 系统 ， 而 不 用 为 每 个 系统 单独 制作 一 张 光盘 ， 它 们 可 以 使 用 网 络 共享 一 
组 安装 文件 来 进行 安装 。 

Linux 常用 的 安装 方法 有 5 种 : 从 光盘 安装 、 从 硬盘 安装 、 网 络 安装 、kickstart 安 
装 、PXE 安装 。 


1. 从 光盘 安装 

用 光盘 安装 是 最 直接 的 方法 ， 在 服务 器 的 光驱 中 放 入 安装 光盘 ， 确 认 BIOS 中 设置 为 
光盘 启动 ， 引 导 系 统 ， 然 后 管理 员 通过 键盘 操作 ， 逐 步 设置 安装 过 程 中 的 选项 。 

2. 从 硬盘 安装 

从 硬盘 安装 需要 首先 在 硬盘 驱动 器 的 分 区 中 安装 光盘 的 ISO 镜像 ， 从 而 使 安装 程序 可 
以 访问 (格式 必须 为 ext2、ext3 或 者 vfat)。 在 RHELS 中 ， 还 要 求 通过 第 一 张 安装 光盘 的 
boot.iso 镜像 文件 来 创建 引导 光盘 。 
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3. 网 络 安装 


通过 网 络 安装 非常 适合 一 次 在 多 台 服 务 器 中 安装 Linux 操作 系统 的 情况 。 从 网 络 安装 
也 需要 通过 boot iso 来 创建 引导 光盘 ， 或 者 从 PXE 引导 。 引 导 启 动 后 ， 需 要 选择 合适 的 网 
络 安装 方法 (NFS、FTP 或 者 HITP)。 系 统 必 须 能 够 通过 选 定 的 网 络 协议 使 用 安装 源 。 

4. kickstart 安装 


kickstart 是 Red Hat 脚本 化 安装 方法 的 名 称 。 编 写 kickstart 格式 的 脚本 后 ， 安 装 程序 
可 以 通过 引导 光盘 或 者 PXE 启动 ， 然 后 选择 kickstart 脚本 文件 的 位 置 。 


5. PXE 安装 


PXE 即 Pre-Execution Environment， 现 在 绝 大 多 数 网 卡 都 支持 这 种 启动 方式 。 它 可 以 
通过 链接 到 网 络 文件 服务 器 进行 安装 ， 并 从 网 络 中 检索 安装 文件 引导 。 


2.1.3 Linux 分 区 


在 安装 Linux 之 前 ， 我 们 还 应 该 了 解 Linux 硬盘 分 区 的 相关 知识 。 

现在 流行 的 操作 系统 无 一 例外 地 使 用 了 虚拟 内 存 技术 。Windows 系统 使 用 交换 文件 来 
实现 虚拟 内 存 ， 而 Linux 使 用 了 交换 分 区 来 实现 。 因 此 ， 在 安装 Windows 时 系统 只 需要 
使 用 一 个 分 区 就 可 以 满足 要 求 ， 但 Linux 系统 至 少 需要 两 个 分 区 : 一 个 是 系统 分 区 ， 另 一 
个 是 交换 分 区 (也 称 作 swap 分 区 )。 


[ 提示 : 当然 ， 如 果 安 装 Linux 系统 的 服务 器 具有 海量 的 内 存 ， 可 以 不 设置 交换 分 
区 。 但 通常 情况 下 ， 用 户 的 服务 器 是 无 法 满足 大 量 交 换 数据 所 需 的 内 存 容量 
的 (根据 服务 器 应 用 的 不 同 ， 物 理 内 存 需要 达到 几 千 光 甚至 上 百 千 兆 才 能 满 
足 要 求 )， 所 以 绝 大 多 数 情况 下 需要 设置 交换 分 区 。 


1. 硬盘 分 区 的 基本 概念 


硬盘 使 用 前 需要 进行 分 区 。 磁 盘 分 区 分 为 主 分 区 、 扩 展 分 区 和 逻辑 分 区 。 一 个 硬盘 最 
多 只 能 有 4 个 主 分 区 。 除 了 主 分 区 ， 一 个 硬盘 还 可 以 划分 一 个 扩展 分 区 ， 一 个 硬盘 只 能 有 
一 个 扩展 分 区 ， 在 这 个 扩展 分 区 中 又 可 以 划分 多 个 逻辑 分 区 。 


2. 硬盘 分 区 的 命名 


在 Linux 操作 系统 中 ， 所 有 的 设备 都 是 以 一 个 文件 的 形式 表示 ， 硬 盘 也 不 例外 。 
Linux 下 的 设备 名 存放 在 “/dev” 目 录 中 。 

Linux 硬盘 设备 的 命名 规则 如 下 : 

服务 器 的 第 一 块 IDE 接口 硬盘 对 应 文件 为 /dev/hda。 

服务 器 的 第 二 块 IDE 接口 硬盘 对 应 文件 为 /dev/hdb， 依 此 类 推 。 

服务 器 的 第 一 块 SCSI 接口 硬盘 对 应 文件 为 /dev/sda。 

服务 器 的 第 二 块 SCSI 接口 硬盘 对 应 文件 为 /dev/sdb， 依 此 类 推 。 

为 分 区 的 命名 使 用 “对 应 硬盘 + 分 区 数字 ”的 形式 来 表示 ， 例 如 : 
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服务 器 的 第 一 块 IDE 接口 硬盘 的 第 1 个 分 区 对 应 文件 为 /dev/hdal。 

服务 器 的 第 一 块 IDE 接口 硬盘 的 第 2 个 分 区 对 应 文件 为 /dev/hda2， 依 此 类 推 。 

服务 器 第 一 块 SCSI 接口 硬盘 的 第 1 个 分 区 对 应 文件 为 /dev/sdal。 

服务 器 第 一 块 SCSI 接口 硬盘 的 第 2 个 分 区 对 应 文件 为 /dev/sda2， 依 此 类 推 。 

在 使 用 分 区 的 数字 编号 时 需要 注意 ， 数 字 1 一 4 是 留 给 主 分 区 或 者 扩展 分 区 使 用 的 ， 
逻辑 分 区 的 编号 从 5 开始 。 


二 提示 : IDE 接口 和 SCSI 接口 都 是 服务 器 常用 的 硬盘 接口 类 型 。IDE 在 早期 的 服务 
器 中 经 常 使 用 ， 现 在 逐渐 被 更 优秀 的 SCSI 接口 取代 。 在 Linux 中 ， 不 但 
SCSI 接口 的 硬盘 设备 使 用 /dev/sd 开头 ，SAS/SATA/USB 接口 的 硬盘 同样 使 
用 /dev/sd 开头 。 


3. Linux 分 区 与 Windows 分 区 的 对 比 


在 Linux 中 ， 我 们 是 通过 使 用 设备 名 (实质 上 为 一 个 文件 ) 来 标识 不 同 的 硬盘 和 分 区 ， 
这 与 Windows 使 用 盘 符 来 标识 不 同 的 硬盘 和 分 区 看 似 不 同 ， 但 实质 上 ， 两 者 的 基本 思想 
是 一 致 的 ， 只 是 标识 方法 不 同 而 已 。 如 图 2-1 所 示 为 Linux 和 Windows 对 硬盘 进行 分 区 的 
标识 图 。 


Linux /ldev/hdal|l /dev/hda5 | /dev/hda6 | /dev/hda7 


扩展 分 区 /dev/hda2 


Windows | Cc: D: E: F: 


扩展 分 区 


图 2-1 Linux 和 Windows 的 分 区 标识 方法 对 比 


在 Linux 中 ， 没 有 Windows 中 盘 符 的 概念 ， 所 以 要 对 硬盘 中 的 某 个 分 区 进行 操作 的 
话 ， 需 要 使 用 此 分 区 的 设备 名 。 另 外 ， 在 Linux 操作 系统 上 划分 了 分 区 以 后 ， 还 需要 在 分 
区 中 创建 文件 系统 ， 此 操作 相当 于 在 Windows 中 格式 化 硬盘 。 区 别 在 于 Windows 使 用 的 
文件 系统 类 型 为 FAT32 或 者 NTFS 等 ; 而 Linux 下 经 常 使 用 的 文件 系统 类 型 为 ext3、 
ReiserFS 等 。 


4. 静态 分 区 和 逻辑 郑 


在 安装 Linux 之 前 ， 正 确 的 分 配 各 个 分 区 的 大 小 是 一 个 非常 困难 的 问题 。 系 统管 理 员 
不 但 要 考虑 到 当前 系统 所 需 的 容量 ， 还 要 预见 该 分 区 以 后 可 能 需要 的 容量 。 如 果 设 计 不 合 
理 ， 会 导致 某 个 分 区 容量 不 够 用 ， 系 统管 理 员 不 得 不 调整 分 区 的 大 小 。 

当 使 用 静态 分 区 时 ， 如 果 要 调整 分 区 的 大 小 ， 可 以 使 用 以 下 几 种 方法 : 

e@ ”使 用 符号 链接 ， 这 种 方法 将 破坏 Linux 文件 系统 的 标准 结构 。 

@ ”使 用 调整 分 区 大 小 的 工具 ， 这 种 方法 需要 停机 后 才能 进行 。 
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@ 备份 整个 系统 、 重 新 对 硬盘 分 区 ， 然 后 再 恢复 数据 到 新 的 分 区 ， 这 种 方法 更 加 麻 
烦 ， 不 但 要 停机 终止 服务 器 的 服务 ， 还 需要 重 装 系统 。 

从 上 面 的 几 种 方法 我 们 可 以 看 出 ， 使 用 静态 分 区 时 的 解决 方法 都 不 理想 ， 所 以 在 安装 
Linux 系统 时 ， 我 们 要 使 用 逻辑 卷 (Logical Volume) 的 分 区 方式 。 

逻辑 卷 (Logical Volume，LM) 是 一 种 建立 在 硬盘 和 分 区 之 上 的 逻辑 层 ， 为 文件 系统 屏 
项 了 下 层 分 区 的 具体 分 布 ， 从 而 提高 了 磁盘 分 区 管理 的 灵活 性 。 例 如 ， 将 若干 个 磁盘 分 区 
连接 为 一 整 块 的 卷 组 (Volume Group)， 形 成 一 个 存储 池 。 管 理 员 可 以 在 卷 组 上 随意 创建 逻 
辑 卷 组 (Logical Volumes)， 并 进一步 在 逻辑 卷 组 创建 文件 系统 。 管 理 员 还 可 以 对 磁盘 存储 
按照 逻辑 卷 组 的 方式 进行 命名 、 管 理 和 分 配 ， 而 不 需要 再 使 用 传统 的 “sda” 和 “sdb” 等 
磁盘 名 。 而 如 果 服 务 器 添加 了 新 的 磁盘 ， 管 理 员 也 可 以 直接 扩展 文件 系统 ， 将 新 添加 的 磁 
盘 纳 入 原 有 的 逻辑 卷 中 。 

了 解 了 逻辑 卷 的 基本 原理 后 ， 下 面 我 们 来 看 看 逻辑 卷 的 一 些 基本 组 成 部 分 。 

1) 物理 卷 (Physical Volume，PV) 

物理 卷 是 指 整个 硬盘 、 硬 盘 上 的 分 区 或 者 逻辑 上 与 磁盘 分 区 具有 相同 功能 的 设备 。 例 
如 RAID。 它 处 于 逻辑 卷 系统 中 的 最 底层 ， 是 逻辑 卷 的 基本 存储 逻辑 模块 ， 和 基本 的 物理 
存储 介质 不 同 的 是 ， 它 包含 与 逻辑 卷 相关 的 管理 参数 信息 。 

2) 卷 组 (Volume Group，VG) 

卷 组 建立 在 物理 卷 之 上 ， 由 一 个 或 者 多 个 物理 卷 组 成 。 可 以 将 物理 卷 动态 的 添加 到 卷 
组 中 ， 管 理 员 可 以 在 卷 组 上 创建 一 个 或 者 多 个 逻辑 卷 。 从 功能 上 看 ， 卷 组 相当 于 其 他 操作 
系统 (例如 Windows) 中 的 物理 硬盘 。 

3) 逻辑 卷 (Logical Volume，LV) 

逻辑 卷 处 于 卷 组 之 上 ， 创 建 的 逻辑 卷 可 以 根据 需要 自由 的 扩展 或 者 缩小 其 占用 的 磁盘 
空间 。 从 功能 上 看 ， 逻 辑 卷 类 似 于 其 他 操作 系统 中 的 磁盘 分 区 ， 管 理 员 可 以 在 逻辑 卷 上 创 
建文 件 系 统 (例如 /home、/usr 等 )。 

4) 物理 区 域 (Physical Extent，PE) 

每 个 物理 卷 被 划分 为 若干 个 基本 单元 ， 即 物理 区 域 ， 具 有 唯一 编号 的 物理 区 域 是 可 以 
被 逻辑 卷 寻 址 的 最 小 存储 单元 。 物 理 区 域 根据 实际 情况 在 创建 物理 卷 的 时 候 设 定 ， 其 默认 
值 为 4MB， 物 理 区 域 的 大 小 一 旦 确定 ， 就 不 能 再 改变 ， 而 且 同 一 个 卷 组 中 的 所 有 物理 卷 
的 物理 区 域 大 小 必须 一 致 。 

5) 逻辑 区 域 (Logical Extent，LE) 

与 物理 卷 类 似 ， 逻 辑 卷 也 被 划 为 可 寻 址 的 若干 个 基本 单元 ， 称 为 逻辑 区 域 ， 在 同一 个 
卷 组 中 ， 物 理 区 域 和 逻辑 区 域 是 相同 的 ， 一 一 对 应 。 

2-2 描述 了 物理 卷 与 逻辑 卷 之 间 的 关系 。 

还 注 意 : 在 Linux 操作 系统 中 ，/boot 分 区 不 能 位 于 卷 组 中 ， 因 为 引导 装载 的 程序 无 
法 从 逻辑 卷 中 读 取 数 据 ， 所 以 在 安装 操作 系统 的 时 候 ， 必 须 创 建 一 个 与 着 组 
分 离 的 /boot 分 区 。 
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<> 


物理 卷 物理 卷 物理 卷 
(100GB) (100GB) (100GB) 
逻辑 卷 组 
(300GB) 

和 Bi | men 
(10GB) (20GB) 人 有 


图 2-2 ”物理 卷 与 逻辑 卷 的 关系 


2.2 VMware 虚拟 机 介绍 


虚拟 机 (Virtual Machine) 是 指 通过 软件 模拟 的 具有 完整 硬件 系统 功能 的 、 运 行 在 一 个 
完全 隔离 环境 中 的 完整 计算 机 系统 。 通 过 虚拟 机 软件 ， 用 户 可 以 在 一 台 物 理 计算 机 上 模拟 
出 一 台 或 多 台 虚拟 的 计算 机 ， 这 些 虚拟 机 完全 就 像 真 正 的 计算 机 那样 进行 工作 ， 例 如 ， 可 
以 安装 操作 系统 、 安 装 应 用 程序 、 访 问 网 络 资源 等 。 对 于 真实 主机 而 言 ， 它 只 是 运行 在 物 
理 计 算 机 上 的 一 个 应 用 程序 ， 但 是 对 于 在 虚拟 机 中 运行 的 应 用 程序 而 言 ， 它 就 是 一 台 真 正 
的 计算 机 。 因 此 ， 在 虚拟 机 中 进行 软件 评测 时 ， 可 能 系统 一 样 会 月 溃 ， 但 是 ， 崩 溃 的 只 是 
虚拟 机 上 的 操作 系统 ， 而 不 是 物理 计算 机 上 的 操作 系统 ， 并 且 ， 使 用 虚拟 机 的 “快照 ” 功 
能 ， 可 以 马上 恢复 虚拟 机 到 安装 软件 之 前 的 状态 。 


2.2.1 VMware Workstation 简介 


VMware( 威 豁 ) 是 全 球 桌 面 到 数据 中 心虚 拟 化 解决 方案 的 领导 厂商 。VMware 
Workstation 作为 其 主打 的 桌面 虚拟 机 软件 ， 提 供用 户 可 在 单一 的 桌面 上 同时 运行 不 同 的 
操作 系统 ， 是 进行 开发 、 测 试 、 部 署 新 的 应 用 程序 的 最 佳 解决 方案 。VMware Workstation 
可 在 一 部 实体 机 器 上 模拟 完整 的 网 络 环境 ， 以 及 可 便于 携带 的 虚拟 机 器 ， 其 更 好 的 灵活 性 
与 先进 的 技术 胜 过 了 市 面 上 其 他 的 虚拟 计算 机 软件 。 对 于 企业 的 IT 开发 人 员 和 系统 管理 
员 而 言 ， VMware 在 虚拟 网 路 、 实 时 快照 、 拖 忠 共 享 文件 夹 、 支 持 PXE 等 方面 的 特点 使 
它 成 为 必 不 可 少 的 工具 。 

VMware Workstation 允许 操作 系统 和 应 用 程序 在 一 台 虚 拟 机 内 部 运行 。 虚 拟 机 是 独立 
运行 主机 操作 系统 的 离散 环境 。 在 VMware Workstation 中 ， 用 户 可 以 在 一 个 窗口 中 加 载 
一 台 虚 拟 机 ， 它 可 以 运行 自己 的 操作 系统 和 应 用 程序 。 也 可 以 在 运行 于 桌面 上 的 多 台 虚 拟 
机 之 间 进 行 切换 ， 通 过 一 个 网 络 共享 虚拟 机 (例如 一 个 公司 局 域 网 )， 挂 起 和 恢复 虚拟 机 以 
及 退出 虚拟 机 。 
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2.2.2 安装 VMware Workstation 


在 本 书 中 ， 我 们 使 用 版 本 VMware Workstation 7.1.3 来 搭建 测试 环境 ， 虽 然 VMware 
Workstation 7.1.3 并 不 是 最 新 版 本 ， 但 其 功能 已 经 完全 能 够 满足 我 们 的 要 求 ， 而 且 它 对 系 
统 的 要 求 更 低 一 些 。 

安装 VMware Workstation 虚拟 机 软件 的 具体 操作 步骤 如 下 。 

(1) 双击 VMware Workstation 安装 文件 VMware-Workstation-full-7.1.3-324285.exe， 弹 
出 Workstation 7.1 安装 界面 ， 如 图 2-3 所 示 。 安 装 程序 需要 先 自行 解压 安装 包 中 的 文件 。 

(2) 安装 程序 解压 完成 后 ， 进 入 欢迎 界面 ， 如 图 2-4 所 示 ， 单 击 Next 按钮 继续 。 

(3) 进入 选择 安装 类 型 界面 ， 如 图 2-5 所 示 ， 选 择 Typical( 典 型 ) 安 装 。 


Vvare Workstation Setup VEvare Workstation Setup 


k 
vmware pF Welcome to the installation wizard for VMware 
要 Workstation 


VMware 


Workstation 7.1 


The nstalation wizard wl install VMware Workstaton on your 
compuier, To continue, dick Next 


WARNING: This programis protected by opyrightlaw and 
Internatonal treates, 


VMware 
Workstation 71 


2-3 ”启动 VMware Workstation 安装 程序 2-4 ”安装 欢迎 界面 


(4) 在 进入 的 界面 中 可 以 选择 安装 的 路 径 ， 如 图 2-6 所 示 。 如 果 用 户 需 要 修改 
VMware Workstation 程序 的 安装 位 置 ， 可 以 单 击 Change 按钮 ， 在 弹出 的 路 径 选择 对 话 杠 
中 选择 需要 安装 的 位 置 ， 如 果 不 需要 改变 安装 位 置 ， 直 接 单 击 Next 按钮 。 


Setup Type tion Folder 
Choose the setup type that best suits your needs, Chck Next to instal to ths folder or didk Change to instal to a different folder. 


吝 Instal VMware Workstation to: 
-| pica Cprogram Fies Wware Wware Workstation\ 
Typeal program features wil be rstaled. 


Custom 
[Ie Choose which program features you want nstaled and where they wil be 
instaled. Recommended for advanced Users. 


图 2-5 选择 安装 类 型 图 2-6 选择 安装 路 径 


(5) 进入 软件 升级 界面 如 图 2-7 所 示 。 如 果 用 户 希望 时 刻 保持 VMware Workstation 程 
序 的 版 本 最 新 ， 可 以 选中 Check for product updates on startup 复 选 框 ， 否 则 需要 取消 选中 
此 选项 。 为 了 避免 更 新 带 来 的 升级 风险 ， 推 荐 取消 此 功能 ， 当 用 户 确实 有 需要 更 新 虚拟 机 
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版 本 的 时 候 ， 可 以 采用 手动 更 新 的 方法 。 单 击 Next 按钮 。 

(6) 进入 用 户 体 验 改进 程序 界面 ， 如 图 2-8 所 示 。 如 果 用 户 允 许 此 功能 ，VMware 
Workstation 将 会 上 传 用 户 使 用 的 信息 给 VMware 公司 以 改进 用 户 体验 ， 此 处 推荐 开启 此 
功能 ， 单 击 Next 按钮 。 


User Experience Improvement Program 


Software Updates 
When wouid you Iike to check for updates of your sofhware? ‘Would you le to send feedback to VMware? 


[Check for product updates on statup 


When VMware Workstation starts, check fo new versions of the appication and nstaled 
a0ftware components, 


回 Hao morove Vmware Workstation 


Send anenymoussystem data and usage statistics to VMware 


图 2-7 软件 升级 界面 图 2-8 用 户 体验 改进 程序 界面 


(7) 进入 快捷 方式 界面 ， 如 图 2-9 所 示 。 此 处 用 户 可 以 选择 安装 程序 是 否 在 Desktop 
(桌面 )、Start Menu Programs folder( 开 始 菜 单 ) 和 Quick Launch toolbar( 快 捷 启动 栏 ) 中 创建 
VMware Workstation 的 启动 快捷 方式 ， 用 户 可 以 根据 自己 的 需要 和 习惯 设置 ， 单 击 Next 
按钮 。 

(8) 安装 程序 将 进行 最 后 的 确认 ， 如 图 2-10 所 示 。 如 果 用 户 单 击 Continue 按钮 ， 安 
装 程序 将 开始 安装 VMware Workstation 到 计算 机 ， 所 有 安装 设置 将 不 能 再 修改 ;， 如果 和 希 
望 修改 安装 设置 ， 可 以 单 击 Back 按钮 来 回顾 修改 刚才 的 设置 。 确 认 无 误 后 ， 单 击 
Continue 按钮 继续 。 


Shortcuts Ready to Perform the Requested Operations 
Select the sortauts you wish to place on your system. 


Create srortouts for VMware Worlstaton n the folowing places: Cick Contmue to begn the process. 


DDesktop 
If you want to review or change any of your nstallation settings, cick Back. Clck Cancel io 
ent he weard 


回 Start Menu Programs folder 


OD Qui Lounch toobor 


图 2-9 快捷 方式 界面 图 2-10 最 后 确认 界面 


(9) 安装 程序 开始 安装 VMware Workstation， 如 图 2-11 所 示 。 经 过 一 段 时 间 的 等 待 ， 
安装 完成 后 程序 会 提示 需要 重新 启动 计算 机 ， 如 图 2-12 所 示 。 单 击 Restart Now 按钮 重启 
计算 机 ， 完 成 安装 。 
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The seaup wizard needs to restart your system in order to 


ts operations, dick Restart Now to initiate a reboot, or 
Restart Later fyou plan to restart your system later 


VMware 


Workstation 71 


图 2-11 开始 安装 界面 图 2-12 ”安装 完成 界面 


2.3 安装 Linux 操作 系统 


虚拟 机 VMware 安装 完成 后 ， 我 们 就 可 以 创建 一 个 新 的 虚拟 机 并 且 在 其 中 安装 Linux 
操作 系统 了 。 

在 本 节 中 ， 我 们 使 用 CentOS 5.5 版 本 为 例 讲解 Linux 操作 系统 的 安装 过 程 。 在 第 1 章 
中 我 们 已 经 介绍 过 ，CentOS 是 来 自 于 Red Hat Enterprise Linux 依照 开放 源 代 码 规定 释 出 
的 源 代 码 所 编译 而 成 。 由 于 出 自 同 样 的 源 代 码 ， 因 此 除了 一 些 由 于 版 权 问 题 而 修改 的 商标 
以 及 显示 界面 外 ，CentOS 可 以 完全 认为 是 商业 版 Red Hat Enterprise Linux 的 复 刻 版 本 。 
两 者 的 最 大 不 同 在 于 CentOS 并 不 包含 封闭 源 代 码 软件 。 

安装 过 程 中 使 用 的 光盘 镜像 文件 名 为 CentOS-5.5-i386-bin-DVD.iso。 虽 然 我 们 是 使 用 
光盘 镜像 进行 安装 ， 但 由 于 在 虚拟 机 中 载 入 光盘 镜像 相当 于 在 虚拟 光驱 中 放 入 光盘 ， 所 以 
下 面 我 们 介绍 的 安装 方法 属于 光盘 安装 ， 而 非 硬盘 安装 。 


2.3.1 创建 新 的 虚拟 机 


在 安装 CentOS 之 前 ， 先 要 使 用 VMware 创建 一 个 新 的 虚拟 机 ， 有 具体 的 操作 步骤 如 下 。 

(1) 打开 VMware， 单 击 New Virtual Machine 按钮 ， 如 图 2-13 所 示 。 

(2) 弹出 新 建 虚 拟 机 对 话 框 ， 如 图 2-14 所 示 。 选 择 Typical( 典 型 ) 的 安装 方法 ， 单 击 
Next 按钮 。 

(3) 进入 客户 操作 系统 安装 界面 ， 如 图 2-15 所 示 。 选 择 mstaller disc image file(iso)( 从 
光盘 镜像 安装 )， 单 击 Browse 按钮 ， 选 择 CentOS 的 光盘 镜像 文件 ， 确 定 后 ， 我 们 会 看 到 
虚拟 机 自动 显示 “CentOS detected” 提 示 ， 说 明光 盘 镜 像 中 的 操作 系统 已 经 被 虚拟 机 检测 
到 ， 单 击 Next 按钮 。 

(4) 进入 简易 安装 信息 界面 ， 如 图 2-16 所 示 。 用 户 需要 添加 虚拟 机 的 基本 信息 ， 包 括 
服务 器 名 、 用 户 名 及 密码 。 添 加 完成 后 ， 单 击 Next 按钮 。 

(5) 进入 虚拟 机 名 称 界面 ， 如 图 2-17 所 示 。 用 户 可 以 选择 虚拟 机 文件 保存 的 位 置 ， 单 
击 Next 按钮 继续 。 


24 Linux 网 络 技术 基础 


Newvinua Mechine Wiord 
| 个 Home x 


VMware Workstation 


‘Welcome to the New Virtual 


Machine Wizard 
Tn Wh hoh pe formane m eare 2nd tancer table vt Pachres. Ec weal 


Workstation 7 brew 


Browse fer mtual madhnes or teame ard slect one to daoby mu 
panel teract Mh the guestoperatng System Wh th splay as 
You would a standardPCE. 


图 2-13 新 建 虚拟 机 图 2-14 新 建 虚拟 机 对 话 框 
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图 2-15 选择 镜像 路 径 图 2-16 设置 服务 器 及 用 户 名 


(6) 进入 设置 磁盘 空间 界面 ， 如 图 2-18 所 示 。 用 户 可 以 设置 虚拟 机 磁盘 的 大 小 ， 以 及 
设置 虚拟 机 磁盘 文件 时 保存 为 单个 文件 还 是 分 为 若干 个 文件 ， 一 般 情况 下 ， 为 了 便于 管理 
和 移植 ， 都 建议 将 磁盘 设置 保存 为 单个 文件 。 单 击 Next 按钮 继续 。 


New Vinual Machine wer [evi ecmine veer 27 Ea 


Mame the Virtual Hachine Specify Disk capaaty 
| Whatrane woud you ike tO use for tha mitual mechine? How large do you vant ths dsk to be? 


The viriual macine’s Hard di & stored 2s one or nore fles on the host 
epee | | cortere ohysca dk These fle(:) start smal ard become barger 25 you 
Cantcs dapplcatone fles, and data to our vitualmadhne 
Loragon: mainundskste (ce): ES 
Gn Vnwere [Eee ecomnenced aze for CentOS: DH 
he diaultlocanon can be charged atedt > Preferences, | 


DO spmt wrta as nto muvple fles 


Sprtng the disk makes it easer to rove the virtual machine to another 
| computer out may iedure periormarce with very age Gishs, 


cet aCE se aolaor 


[J] 3 es | 


图 2-17 设置 虚拟 机 文件 保存 路 径 图 2-18 设置 虚拟 机 磁盘 大 小 
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(7) 进入 准备 安装 界面 ， 如 图 2-19 所 示 。 用 户 可 以 在 列表 框 中 确认 所 有 的 设置 信息 ， 
如 果 用 户 需 要 在 创建 完 虚 拟 机 后 立即 安装 操作 系统 ， 可 以 选中 Power on this virtual 
machine after creation 复 选 框 。 最 后 ， 单 击 Finish 按钮 ， 虚 拟 机 创建 完毕 。 

(8) 创建 完成 后 的 虚拟 机 会 显示 在 VMware 软件 的 初始 界面 中 ， 如 图 2-20 所 示 。 


ene on th ws machne aar aeammn 


sok CE 一 cad 


图 2-19 确认 安装 信息 图 2-20 ”新 添加 的 虚拟 机 


2.3.2 开始 安装 Linux 


创建 完 虚拟 机 后 ， 单 击 此 虚拟 机 界面 中 的 Power on this virtual machine( 打 开 虚 拟 机 ) 命 
令 ， 即 可 开始 安装 Linux 操作 系统 ， 安 装 的 具体 操作 步骤 如 下 。 

(1) 经 过 短暂 的 系统 基本 信息 载 入 ， 我 们 可 以 看 到 CentOS 安装 起 始 界面 如 图 2-21 所 
示 。 一 共有 3 种 安装 方式 : 

@ 在 图 形 界面 中 安装 ， 直 接 按 Enter 键 即 可 。 

e@ 在 文字 界面 中 安装 ， 需 要 输入 Linux text， 然 后 按 Enter 键 。 

e@ ”查看 操作 系统 的 其 他 信息 按 对 应 的 功能 键 即 可 ， 包 括 显示 主 界面 El1 键 )、 显 示 选 项 

(F2 键 )、 帮 助 信息 概述 (F3 键 )、 显 示 Linux 核心 信息 (F4 键 )、 修 复 操作 系统 (F5 键 )。 

为 了 让 读者 能 够 更 加 深入 了 解 Linux 操作 系统 的 安装 过 程 ， 我 们 使 用 文本 界面 的 安装 
方式 ， 输 入 Linux test， 再 按 Enter 键 。 

(2) 经 过 短暂 的 等 待 ， 操 作 系统 载 入 安装 信息 ， 进 入 如 图 2-22 所 示 的 界面 。 提 示 用 户 
系统 找到 的 光盘 介质 ， 选 择 OK 按钮 通过 光盘 安装 操作 系统 ， 开 始 检测 光盘 内 容 ， 如 图 2-23 
所 示 。 


图 2-21 安装 起 始 界面 图 2-22 检测 光盘 
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(3) 检测 完成 后 ， 进 入 语言 选择 界面 ， 如 图 2-24 所 示 。 由 于 文本 安装 模式 不 支持 中 
文 ， 我 们 选择 默认 的 英文 即 可 ， 选 择 OK 按钮 继续 。 


图 2-23 检测 光盘 图 2-24 ”选择 语言 


(4) 进入 键盘 选择 界面 ， 如 图 2-25 所 示 。 使 用 默认 设置 即 可 ， 选 择 OK 按钮 继续 。 
(5) 进入 分 区 类 型 界面 ， 如 图 2-26 所 示 。 一 共有 4 种 分 区 方式 可 以 选择 : 

@ ”删除 所 有 的 现 有 分 区 ， 创 建 默认 的 分 区 布局 。 

@ ”删除 所 有 的 Linux 分 区 ， 创 建 默 认 的 分 区 布局 。 

@ ”使 用 空闲 空间 创建 默认 分 区 布局 。 

@ ” 自 定 义 分 区 布局 。 

由 于 是 全 新 的 系统 安装 ， 我 们 选择 第 一 种 方式 ， 选 择 OK 按钮 继续 。 


图 2-25 键盘 选择 图 2-26 选择 分 区 方式 


(6) 系统 会 弹出 警告 界面 提示 用 户 将 删除 所 有 的 分 区 ， 选 择 OK 按钮 即 可 。 然 后 ， 进 
入 了 分 区 界面 ， 可 以 查看 默认 的 分 区 布局 ， 如 图 2-27 所 示 。 此 默认 分 区 布局 的 特点 是 : 

@ ”单独 创建 了 /boot 分区， 分 区 类 型 为 ext3。 
将 所 有 磁盘 容量 创建 为 一 个 物理 卷 。 
将 此 物理 卷 加 入 到 一 个 名 为 VolGroup00 的 卷 组 中 。 
在 此 卷 组 中 分 别 创建 了 两 个 逻辑 卷 : LogVol00 和 LogVol01， 分 区 类 型 分 别 为 
ext3 和 swap。 
从 2.1.3 节 中 的 介绍 可 知 ， 这 种 默认 分 区 的 方式 是 不 安全 的 ， 所 有 的 数据 都 被 存放 在 
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唯一 的 一 个 基于 卷 组 的 文件 系统 中 ， 一 旦 这 个 卷 组 出 现 问题 ， 其 中 的 所 有 数据 将 不 能 被 读 
取 ， 很 可 能 造成 系统 不 能 正常 启动 。 安 全 的 分 区 方案 应 该 是 将 系统 数据 与 普通 用 户 的 数据 
分 离 ， 也 就 是 创建 一 个 单独 的 /home 逻辑 卷 ， 并 且 应 该 将 不 经 常 变化 的 系统 数据 与 经 常 变 
化 的 系统 数据 分 离 ， 即 分 别 创建 nsr 和 /var 逻辑 卷 。 

根据 以 上 原则 ， 我 们 将 默认 分 区 布局 修改 为 如 图 2-28 所 示 的 样子 。 修 改 完 成 后 ， 选 
择 OK 按钮 继续 。 


1 /oot 
1 268 28371M physical v 


2610 mphyele, 


图 2-27 查看 默认 分 区 图 2-28 修改 默认 分 区 


(7) 进入 启动 加 载 器 设置 界面 ， 如 图 2-29 所 示 。 使 用 默认 的 GRUB 启动 加 载 器 ， 选 
择 OK 按钮 继续 。 

(8) 系统 出 现 提 示 信 息 ， 如 图 2-30 所 示 。 告 知 用 户 有 些 系统 在 安装 过 程 中 需要 设置 特 
殊 参 数 ， 在 本 安装 中 不 需要 用 到 ， 直 接 选 择 OK 按钮 继续 。 


would you like to wse? 


图 2-29 选择 启动 加 载 器 图 2-30 输入 系统 启动 参数 


(9) 进入 设置 GRUB 密码 界面 ， 如 图 2-31 所 示 ， 此 处 为 了 简化 步骤 ， 不 设置 GRUB 
密码 ， 直 接 选 择 OK 按钮 继续 。 


(10) 进入 设置 启动 卷 界 面 ， 如 图 2-32 所 示 。 如 果 服 务 器 安装 有 多 个 Linux 操作 系 
统 ， 需 要 选择 Linux 的 默认 启动 卷 ， 在 本 例 中 ， 使 用 默认 值 即 可 ， 单 击 OK 按钮 继续 。 


Boot Loader Conf iguration 
The boot wanager centos 

be Sle’ to "boot and what ebet Vou mant to" Wel 
Deora lt Doot lobey Devic: 


图 2-31 设置 GRUB 密码 图 2-32 设置 启动 卷 
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(11) 进入 启动 加 载 器 安装 位 置 界面 ， 如 图 2-33 所 示 。 使 用 默认 值 ， 选 择 OK 按 
钮 继续 。 
(12) 进入 网 络 设置 界面 ， 如 图 2-34 所 示 ， 选 择 Yes 按钮 开始 进行 网 络 设置 。 


Boot Loader Configuration 
Conf igure Network Interface 

Where do you want to install the boot loader? 

Would you like to configure the eth8 

network interface in your system? 


dev/sda e 
“dev/sdal First sector of boot partition 


图 2-33 设置 启动 加 载 器 安装 位 置 图 2-34 ”开始 设置 网 络 


(13) 进入 选择 网 络 协议 界面 ， 如 图 2-35 所 示 ， 开 启 网 卡 对 IPv4 和 IPv6 的 支持 选 
项 ， 选 择 OK 按钮 继续 。 

(14) 进入 网 络 地 址 设置 界面 ， 如 图 2-36 所 示 。 在 绝 大 多 数 情况 下 ， 服 务 器 是 使 用 静 
态 PP 地 址 的 ， 选 择 手动 地 址 设置 选项 ， 设 置 PP 地 址 及 子 网 掩 码 ， 选 择 OK 按钮 继续 。 


IPv4 Conf iguration for ethB 


Netuork Configuration for ethB Advanced Micro Devices [AMD] ?9c9?8 [PCnet32 LANCE] 
988:8C:29:82:50:58 

Advanced Micro Devices [AMD] 79c978 [PCnet32 LANCE] 

80:0C:29:02:50:58 


naaness 
8 .1.105 


| Met 
加 


图 2-35 ”开启 网 络 协议 图 2-36 设置 IP 地 址 


(15) 进入 设置 默认 网 关 和 DNS 界面 ， 如 图 2-37 所 示 。 填 写 服务 器 的 默认 网 关 和 
DNS 服务 器 地 址 ， 选 择 OK 按钮 继续 。 

(16) 进入 主机 名 获取 方式 界面 如 图 2-38 所 示 ， 如 果 服 务 器 所 在 网 络 的 DHCP 服务 器 
开启 了 分 发 主机 名 的 功能 ， 可 以 选择 通过 DHCP 自动 获得 选项 ， 和 否则 ， 选 择 手 动 设置 选 
项 ， 并 输入 主机 名 。 选 择 OK 按钮 继续 。 


Miscellancous Network Scttings Ee 


Tf your system is part of a 
as 


Gateway: 92.168.1.1 
rrinary ns: 到 2.2 
Secondary DNS: 


图 2-37 设置 默认 网 关 和 DNS 服务 器 图 2-38 设置 主机 名 
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(17) 进入 选择 时 区 界面 ， 如 图 2-39 所 示 。 选 择 Asia/Shanghai 时 区 ， 选 择 OK 按钮 


进入 管理 员 密码 设置 界面 ， 如 图 2-40 所 示 。 输 入 Root 用 户 的 密码 ， 选 择 OK 按 


ec rie eh 
tae Jou know uhat it is and 


St make a mistake in typing. Remenber 
that the root passuord is a critical part 
of system security! 


Passuord 
nh 


fsia/Sakhalin 
Asia/Sanarkand 
Afsia/Seoul 


ngapore 


双双 


图 2-39 选择 时 区 图 2-40 输入 root 密码 
(19) 进入 安装 包 选 择 界面 ， 如 图 2-41 所 示 。 选 择 服务 器 的 使 用 类 型 后 ， 安 装 程序 会 
根据 不 同类 型 的 服务 器 选择 不 同 的 安装 包 组 件 ， 此 处 我 们 选择 Server-GUI 服务 器 类 型 ， 
选择 OK 按钮 继续 。 
(20) 进入 开始 安装 界面 ， 如 图 2-42 所 示 。 管 理 员 可 以 最 后 确认 是 否 开 始 安装 ， 选 择 
OK 按钮 ， 开 始 安装 CentOS 。 


1 
ie or general int 


na 
would you Like your sustem to inctude support Qcomplete og of ose nstaliatton WAIl 


be in /moot {natall, log aftor roboo 


‘|! EE, Jour system, You mal Lant to keep th 
Wie For Jeter Teteronce. 
on 


a 
tn] 
同 可 


图 2-41 选择 安装 包 图 2-42 确认 安装 
(21) 开始 安装 CentOS 操作 系统 ， 安 装 过 程 如 图 2-43 所 示 。 
(22) 安装 完成 后 ， 安 装 程序 会 弹出 对 话 框 ， 要 求 重启 服务 器 ， 如 图 2-44 所 示 ， 这 也 
标志 着 我 们 的 Linux 已 经 安装 成 功 。 


Congratulations, your Cent0S installation is complete. 


Mewove any wedie uscd during the installation process 
and press tEnter> to reboot your sus 


图 2-43 ”安装 过 程 图 2-44 重启 服务 器 
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2.3.3 使 用 Setup Agent 


当 CentOS 安装 完成 后 ， 第 一 次 启动 操作 系统 时 会 首先 启用 Setup Agent， 如 图 2-45 
所 示 。 

Setup Agent 可 以 对 我 们 在 安装 Linux 过 程 中 的 一 些 内 容 进 行 再 一 次 的 设置 ， 如 时 区 、 
键盘 等 设置 。 例 如 ， 我 们 以 修改 防火 墙 设置 ， 那 么 可 以 选择 FireWall configuration 选项 ， 
然后 选择 Run Tool 按钮 ， 我 们 可 以 在 防火 墙 设置 中 打开 或 者 关闭 系统 防火 墙 ， 如 图 2-46 
所 示 。 


2-45 Setup Agent 界面 2-46 设置 防火 墙 


导 提示 : 在 实际 应 用 中 ， 管 理 员 一 般 都 会 自己 安装 防火 墙 ， 而 不 是 使 用 Linux 内 置 的 
防火 墙 这 时 ， 就 需要 将 系统 防火 墙 禁 止 。 


2.3.4 使 用 yum 工具 


在 Linux 的 系统 管理 中 ， 最 繁琐 的 问题 要 数 软件 包 之 间 的 依赖 问题 了 ， 由 于 Linux 发 
布 版 本 众多 ， 对 应 不 同 版 本 、 不 同 核心 的 软件 也 是 五 花 八 门 ， 经 常会 产生 各 种 各 样 的 版 本 
问题 ， 往 往 是 明明 已 经 安装 了 依赖 软件 ， 但 因为 版 本 不 同 ， 也 不 能 正常 使 用 。 

为 了 解决 上 述 问题 ， 开 源 社区 开发 了 多 种 解决 发 行 版 本 依赖 关系 的 工具 ， 在 Red Hat 
中 最 常用 的 要 数 yum 了 。yum( 全 称 为 Yellow dog Updater Modified) 是 在 Fedora、Red Hat 
以 及 SUSE、CentOS 中 的 Shell 前 端 软件 包 管理 器 。 基 于 RPM 包 管理 ， 能 够 从 指定 的 服 
务 器 自动 下 载 RPM 包 并 且 安 装 ， 可 以 自动 处 理 依赖 性 关系 ， 并 且 一 次 安装 所 有 依赖 的 软 
件 包 ， 无 须 繁琐 地 一 次 次 下 载 、 安 装 。 目 前 ，Red Hat 和 CentOS 等 Linux 系统 都 已 经 默认 
安装 yum 软件 。 

要 正常 使 用 yam， 首 先 需要 修改 其 更 新 源 ， 目 前 国内 访问 速度 较 快 的 常用 更 新 网 址 有 
以 下 几 个 : 

@ http://ftp.sjtu.edu.cn/centos/ 

@ http://centos.candishosting.com.cn/ 

@ http://ftp.hostrino.com/pub/centos/ 

@ http://mirrors.tal39.com/centos 

可 以 通过 编辑 yum 的 配置 文件 CentOS-Base.repo 来 将 这 些 更 新 源 添加 到 yum 中 。 打 
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开 并 且 编辑 文本 文件 的 命令 为 : 


#vi /etc/yum.repos .dq/CentOS-Base.repo 


我 们 需要 将 以 上 的 4 个 更 新 源 分 别 添加 到 [base]、[updates]、[addons]、[extras]、 
[centosplus] 和 [contrib] 的 相应 位 置 ， 修 改 后 的 CentOS-Base.repo 文件 内 容 如 下 面 的 代码 
所 示 : 

CentOS-Base .repo 

The mirror system Uses the connecting IP address of the client and the 
update status of each mirror to pick mirrors that are updated to and 
geographically close to the client. You should use this for CentOS 


updates 
# unless you are manually picking other mirrors. 


太 砷 间 砷 厅 


# If the mirrorlist= does not work for you, as a fall back you can try 
the 

# remarked out baseurl= line instead. 

# 

# 


[base] 

name=CentOS-$releasever - Base 
mirrorlist=http://mirrorlist.centos.org/?release=$releaseverg&arch=$basea 
rchgrepo=os 
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/ 
http://ftp.sjtu.edu.cn/centos/$basearch/ 
http://centos.candishosting.com.cn/$basearch/ 
http://ftp.hostrino.com/pub/centos/$basearch/ 
http://mirrors.tal39.com/centos/$basearch/ 

gpgcheck=1 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOs-5 


#released updates 

[updates] 

name=CentOSs-$releasever - Updates 
mirrorlist=http://mirrorlist.centos.org/?release=$releaseverg&arch=$basea 
rchgrepo=updates 
#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/ 
http://ftp.sjtu.edu.cn/centos/$basearch/ 
http://centos.candishosting.com.cn/$basearch/ 
http://ftp.hostrino.com/pub/centos/$basearch/ 
http://mirrors.tal39.com/centos/$basearch/ 

gpgcheck=1 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOSs-5 


#packages used/produced in the build but not released 

[addons] 

name=CentOSs-$releasever - Addons 
mirrorlist=http://mirrorlist.centos.org/?release=$releasevergarch=$basea 
rchgrepo=addons 
#baseurl=http://mirror.centos.org/centos/$releasever/addons/$basearch/ 
http://ftp.sjtu.edu.cn/centos/$basearch/ 
http://centos.candishosting.com.cn/$basearch/ 
http://ftp.hostrino.com/pub/centos/$basearch/ 
http://mirrors.tal39.com/centos/$basearch/ 

gpgcheck=1 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5 
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#additional packages that may be useful 

[extras] 

name=CentOS-$releasever - Extras 
mirrorlist=http://mirrorlist.centos.org/?release=$releasevergarch=$basea 
rchgrepo=extras 
#baseurl=http://mirror.centos.org/centos/$releasever/extras/$basearch/ 
http://ftp.sjtu.edu.cn/centos/$basearch/ 
http://centos.candishosting.com.cn/$basearch/ 
http://ftp.hostrino.com/pub/centos/$basearch/ 
http://mirrors.tal39.com/centos/$basearch/ 

gpgcheck=1 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5 


#additional packages that extend functionality of existing packages 
[centosplus] 

name=CentOS-$releasever - Plus 
mirrorlist=http://mirrorlist.centos.org/?release=$releaseVer&arch=$basea 
rchgrepo=centosplus 
#baseurl=http://mirror.centos.org/centos/$releasever/centosplus/$basearc 
By 

http://ftp.sjtu.edu.cn/centos/$basearch/ 
http://centos.candishosting.com.cn/$basearch/ 
http://ftp.hostrino.com/pub/centos/$basearch/ 
http://mirrors.tal39.com/centos/$basearch/ 

gpgcheck=1 

enabled=0 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOSs-5 


#contrib - packages by Centos Users 

[contrib] 

name=CentOS-$releasever - Contrib 
mirrorlist=http://mirrorlist.centos.org/?release=$releasevergarch=$basea 
rchgrepo=contrib 
#baseurl=http://mirror.centos.org/centos/$releasever/contrib/$basearch/ 
http://ftp.sjtu.edu.cn/centos/$basearch/ 
http://centos.candishosting.com.cn/$basearch/ 
http://ftp.hostrino.com/pub/centos/$basearch/ 
http://mirrors.tal39.com/centos/$basearch/ 

gpgcheck=1 

enabled=0 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOSs-5 


编辑 完成 后 ， 我 们 就 可 以 使 用 yum 来 更 新 系统 软件 了 。 更 新 系统 的 命令 如 下 : 


#rpm -import /etc/pki/rpm-gpg/RPM-GPG-KEY* 
#yum upgrade 


2.4 GNOME 桌面 环境 使 用 与 管理 


对 于 用 惯 了 Windows 系统 的 用 户 来 说 ， 对 于 Linux 中 传统 的 命令 行 形式 比较 难以 接 
受 ， 更 喜欢 Windows 中 的 图 形 化 用 户 界面 环境 (GUD， 而 对 于 使 用 Linux 作为 娱乐 和 办 公 
的 用 户 来 说 ， 图 形 化 用 户 界面 环境 更 加 友好 ， 为 了 响应 这 些 需求 ，Linux 操作 系统 其 实 很 
早 就 已 经 开始 提供 这 种 图 形 化 的 用 户 界面 解决 方案 。 
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2.4.1 XWindow 简介 


XX Window 系统 (X Window System， 也 常 称 为 X11 或 X) 是 一 种 以 位 图 方式 显示 的 软件 
窗口 系统 。 最 初 是 1984 年 麻 省 理工 学 院 研究 的 ， 之 后 变 成 UNIX、 类 UNIX 以 及 
OpenVMS 等 操作 系统 所 一 致使 用 的 标准 化 软件 工具 包 及 显示 架构 的 运作 协议 。X Window 
系统 通过 软件 工具 及 架构 协议 来 建立 操作 系统 所 用 的 图 形 用 户 界面 ， 此 后 则 逐渐 扩展 适 
用 到 各 形 各 色 的 其 他 操作 系统 上 。 现 在 几乎 所 有 的 Linux 操作 系统 都 能 支持 与 使 用 
X Window。 

X Window 系统 主要 有 以 下 几 个 特征 : 

(1) X Window 系统 具有 网 络 透明 性 (Network Transparent)。 透 过 网 络 ， 应 用 程序 窗口 
在 其 他 实际 中 的 输出 显示 就 和 在 自己 机 器 上 一 样 容易 。 

(2) 可 以 支持 多 种 不 同 风格 的 操作 系 界 面 。X Window 系统 只 是 提供 建立 窗口 的 一 个 
标准 ， 而 管理 窗口 的 功能 (例如 ， 窗 口 的 摆 放 、 大 小 以 及 显示 顺序 等 ) 并 不 包含 在 系统 中 ， 
而 是 由 应 用 程序 来 控制 ， 因 此 可 以 轻易 地 切换 。 

(3) X Window 系统 不 是 操作 系统 的 一 部 分 ， 对 于 操作 系统 而 言 ，X Window 只 是 一 个 
程序 而 已 ， 因 此 很 容易 在 不 同 的 系统 上 安装 。 

(4) X Window 系统 的 窗口 是 层次 性 的 。 应 用 程序 可 以 直接 使 用 窗口 系统 已 有 的 设施 便 
可 满足 大 部 分 的 需求 ， 而 无 需 借助 其 他 的 输入 或 者 控制 结构 。 

(5) X Window 系统 是 免费 的 。X Window 系统 是 开源 项 目 ， 可 通过 网 络 或 者 其 他 途径 
免费 获得 源 代码 。 

更 重要 的 是 ,今日 知名 的 桌面 环境 一 一 GNOME 和 KDE 也 都 是 以 义 Window 系统 为 
基础 建构 成 的 。 


2.4.2 ”GNOME 桌面 环境 介绍 


GNOME(GNU Network Object Model Environment，GNU 网 络 对 象 模型 环境 ) 最 初 是 由 
墨西哥 的 程序 设计 师 发 起 的 ， 为 了 克服 KDE 桌面 环境 所 遇 到 的 许可 协议 和 对 C++ 依赖 的 
问题 ， 它 受到 了 Red Hat 公司 的 大 力 支 持 ， 其 主要 目的 是 希望 能 够 为 用 户 提供 一 个 完整 易 
学 易 用 的 桌面 环境 ， 并 为 程序 设计 师 提供 强大 的 应 用 程序 开发 环境 。 


2.4.3 ”GNOME 桌面 环境 的 使 用 

熟悉 Windows 操作 系统 的 管理 员 对 于 GNOME 桌面 上 手 会 更 快 一 些 ， 因 为 GNOME 
的 操作 方式 与 Windows 操作 系统 非常 相似 。 

1. 进入 GNOME 


启动 CentOS 操作 系统 后 ， 默 认 是 以 命令 行 界面 ， 如 果 要 进入 图 形 界面 ， 可 以 输入 以 
下 命令 : 


[root@CentoOs ~]# #startx 
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经 过 短暂 的 载 入 ， 我 们 可 以 看 到 如 图 2-47 所 示 的 图 形 界面 ， 这 就 是 GNOME 的 默认 界 
面 环境 。 在 CentOS 中 ， 默 认 使 用 的 是 GNOME 桌面 环境 ， 它 主要 由 以 下 几 个 部 分 构成 。 

e 桌面 以 及 桌面 上 的 图 标 、 窗 口 。 

e@ ”面板 位 于 桌面 的 上 方 和 下 方 。 

e@ ”任务 栏 位 于 面板 中 。 

如 果 用 户 希 望 切 换 到 其 他 桌面 环境 ， 可 以 在 “终端 (Terminal)” 中 输入 以 下 命令 : 


[root@CentOs ~]# switchdesk 
会 弹出 如 图 2-48 所 示 的 “桌面 切换 器 ”对 话 框 ， 管 理 员 可 以 在 其 中 选择 自己 喜欢 的 
桌面 环境 。 


让 wpprcnens ace ssem 凤 伍 民国 周 三 :am dl 


让 
SSwttch between vanous esktops tat ney have instalea 


Please select the defau desktop for the system 
Avalable Desktops 


DO GNOME A 


@ gpE bo 7 《 
本 
的 
有 
全 | 国 ratgcmtos 一 Le | ES 
2-47 GNOME 默认 桌面 环境 2-48 ”桌面 切换 器 对 话 框 


2. 使 用 GNOME 面板 


GNOME 面板 是 GNOME 桌面 的 重要 组 成 部 分 ， 位 于 桌面 的 上 方 和 下 方 ， 在 面板 中 集 
成 了 很 多 的 常用 工具 。 默 认 的 面板 构成 如 图 2-49 所 示 。 


恬 ApplcationsAPlaces System 合共 已 便 S58 PM 
快捷 启动 区 输入 法 时 间 音量 
a | | LI | 


图 2-49 面板 构成 


与 Windows 的 任务 栏 类 似 ，GNOME 的 面板 也 是 可 以 自 定义 的 ， 管 理 员 可 以 自 定义 
面板 的 属性 、 添 加 程序 到 快速 启动 区 以 及 定制 虚拟 桌面 等 。 

1) 自 定义 面板 属性 

自 定义 面板 属性 的 操作 包括 设置 面板 方式 的 位 置 与 大 小 等 ， 具 体 的 操作 步骤 如 下 。 

(1) 在 面板 的 空白 处 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 properties( 属 性 ) 命 令 ， 
如 图 2-50 所 示 。 
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(2) 弹出 Panel Properties( 面 板 属性 ) 对 话 框 如 图 2-51 所 示 ， 如 果 需 要 设置 面板 的 位 
置 ， 可 以 在 Genemal( 常 规 ) 标 签 中 的 Orientation( 方 向 ) 下 拉 列 表 框 中 选择 ， 一 共有 4 个 选 
项 ， 分 别 是 Top( 上 )、Bottom (下 )、Left( 左 )、Right( 右 )。 


Add to Panel... 


图 Delete This 人 


国 New Panel 


图 Hep 


食 About Panels | 


Expand | gight 
Autonids 
Show hide butons 
Arrows on hide buttons 


加 tep | | xcos 


2-50 选择 Properties( 属 性 ) 命 令 2-51 ”Panel Properties( 面 板 属性 ) 对 话 框 


(3) 如 果 要 设置 面板 的 大 小 ， 可 以 在 Size( 大 小 ) 文 本 框 中 进行 设置 。 

(4) 如 果 需 要 自动 隐藏 面板 ， 可 以 选中 Autohide( 自 动 隐藏 ) 复 选 枉 。 如 果 管 理 员 希望 
自己 手动 隐藏 面板 ， 也 可 以 选中 Show hide buttons( 显 示 隐 藏 按钮 ) 复 选 框 。 

(5) 切换 到 Background( 背 景 ) 选 项 卡 ， 可 以 设置 面板 的 背景 图 片 或 者 是 颜色 ， 如 图 2-52 
所 示 。 
(6) 设置 完成 后 ， 单 击 Close( 关 闭 ) 按 钮 可 以 关闭 此 对 话 框 。 

2) 在 快速 启动 区 中 添加 程序 

在 菜单 区 右 侧 的 快速 启动 区 中 ， 通 常 放置 着 经 常 使 用 的 应 用 程序 的 启动 命令 ， 管 理 员 
可 以 通过 单 击 某 个 项 目 启动 相应 的 程序 ， 管 理 员 也 可 以 将 自己 的 应 用 程序 添加 到 快速 启动 
区 中 。 

在 快速 启动 区 中 添加 应 用 程序 的 具体 操作 步骤 如 下 。 

(1) 在 面板 空白 处 单 击 鼠 标 右 键 ， 从 弹出 的 快捷 菜单 中 选择 Add to Panel( 添 加 到 面板 ) 
命令 ， 如 图 2-53 所 示 。 


= Panel Properties 南 


General Background 


© None (use system theme)| 


O Solid colour 


fF Properties 
图 Delete This Panel 


O Background image: 


[9 New Panel 
pr pg 图 Help 
图 2-52 Backgroud( 背 景 ) 选 项 卡 图 2-53 ”Add to Panel( 添 加 到 面板 ) 命 令 


(2) 弹出 Add to Panel( 添 加 到 面板 ) 对 话 框 ， 如 图 2-54 所 示 。 管 理 员 可 以 在 列表 中 选择 
系统 自 带 的 程序 (例如 选择 Dictionary Look up( 字 典 ) 程 序 )， 然 后 单 击 Add( 添 加 ) 按 钮 将 此 程 
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序 添 加 到 面板 中 ， 添 加 后 的 样式 如 图 2-55 所 示 。 


已 add ro Panel 回 


Fndanitemto add to “Bottom Panel"- 


Application Launcher... 
Copy a launcher from the applications menu 


2-54 ”Add to Panel( 添 加 到 面板 ) 对 话 框 


(3) 在 创建 好 的 应 用 程序 启动 器 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 Move( 移 
动 ) 命 令 可 以 将 新 添加 的 应 用 程序 移动 到 需要 的 位 置 ， 移 动 后 的 效果 如 图 2-56 所 示 。 


SZTESm 
图 2-55 添加 后 的 应 用 程序 图 2-56 移动 后 的 应 用 程序 


(4) 位 置 调整 完成 后 ， 在 快捷 菜单 中 选择 Lock to Panel( 锁 定 到 面板 ) 命 令 ， 如 图 2-57 
所 示 ， 可 以 防止 启动 器 再 次 被 移动 。 

如 果 在 Add to Panel( 添 加 到 面板 ) 对 话 框 中 没有 需要 的 应 用 程序 ， 管 理 员 也 可 以 选择 
Custom Application Launcher( 自 定义 应 用 程序 ) 命 令 来 手动 添加 需要 的 应 用 程序 。 下 面 我 们 
就 以 添加 一 个 “关机 ”启动 器 为 例 ， 介 绍 手 动 添加 应 用 程序 的 具体 操作 步骤 。 

(1) 在 面板 空白 处 单 击 鼠 标 右键 ， 从 弹出 的 快捷 菜单 中 选择 Add to Panel( 添 加 到 面板 ) 
命令 。 

(2) 弹出 Add to Panel( 添 加 到 面板 ) 对 话 框 ， 选 择 Custom Application Launcher( 创 建 应 
用 程序 启动 器 ) 选 项 ， 再 单 击 Add( 添 加 ) 按 钮 。 

(3) 弹出 Create Launcher( 创 建 启动 器 ) 对 话 框 ， 如 图 2-58 所 示 。 在 Name( 启 动 器 名 称 ) 
文本 框 中 输入 命名 的 启动 器 名 称 poweroff， 再 单 击 Command( 命 令 ) 右 侧 的 Browse( 浏 览 ) 
按钮 。 


区 No Icon | 

加 Meme 
SS Launch 

operes Gomme 
~ tenore ramone oo 


Move 


| Kcance|| Box 


图 2-57 选择 Lock to Panel( 锁 定 到 面板 ) 命 令 2-58 ”Create Launcher( 创 建 启 动 器 ) 对 话 框 
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(4) 弹出 Choose an application( 选 择 应 用 程序 ) 对 话 框 ， 如 图 2-59 所 示 。 依 次 选择 File 
System 一 sbin 一 poweroff 选项 ， 再 单 击 Open( 打 开 ) 按 钮 完成 命令 的 添加 。 返 回 Create 
Launcher( 创 建 启动 器 ) 对 话 框 。 

(5) 另外 ， 如 果 需 要 ， 管 理 员 还 可 以 单 击 对 话 框 中 的 No Icon 按钮 来 添加 命令 图 标 。 
如 图 2-60 所 示 ， 弹 出 Browse icons( 浏 览 图 标 ) 对 话 框 ， 在 其 中 选择 需要 的 命令 图 标 即 可 。 


an application. 


[RE | [ore | 


图 2-59 选择 命令 图 2-60 选择 图 标 


(6) 命令 配置 完毕 后 ， 如 图 2-61 所 示 ， 单 击 OK 按钮 即 可 ， 此 时 命令 会 显示 在 面板 
中 ， 如 图 2-62 所 示 ， 说 明 已 经 成 功 添加 poweroff( 关 机 命令 ) 启 动 器 。 


= Create Launcher 


Types | Applcaton 


Name: [poweror 


commen: [ | 
OO 


园 Help | Kcanca 


2-61 ”配置 完成 的 创建 启动 器 对 话 框 2-62 成功 添加 poweroff 启动 器 


3) 定制 工作 区 

在 GNOME 的 面板 右 下 角 ， 有 一 个 工作 区 (在 有 些 资 料 中 也 称 为 虚拟 桌面 ) 区 域 如 图 2-49 
所 示 ， 它 可 以 非常 方便 的 管理 应 用 程序 窗口 。 在 GNOME 中 默认 一 共有 4 个 工作 区 ， 管 
理 员 可 以 将 打开 的 窗口 放 在 不 同 的 工作 区 中 ， 通 过 切换 工作 区 来 访问 不 同 的 窗口 。 例 如 ， 
把 浏览 器 窗口 放 在 “工作 区 1” 中 ， 而 把 OpenOffice 窗口 放 在 “工作 区 2” 中 。 工 作 区 之 
间 的 切换 主要 有 以 下 两 种 操作 方法 。 

@ ”使 用 鼠标 直接 单 击 需要 切换 到 的 工作 区 。 

@ ”使 用 快捷 键 Ctri+Alt+Left(Right) 切 换 到 左 ( 右 ) 侧 的 工作 区 。 

另外 ， 在 GNOME 中 默认 提供 4 个 工作 区 ， 管 理 员 也 可 以 自己 定制 工作 区 的 数量 ， 
定制 工作 区 数量 的 具体 操作 步骤 如 下 。 

(1) 在 工作 区 区 域 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 Preferences( 首 选项 ) 命 
令 ， 如 图 2-63 所 示 。 
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(2) 弹出 Workspace Switcher Preferences( 工 作 区 切换 器 首选 项 ) 对 话 框 ， 如 图 2-64 所 


示 。 管 理 员 在 Number of workspace( 工 作 区 数量 ) 微 调 框 中 输入 需要 显示 的 工作 区 数量 ， 单 
击 Close 按钮 即 可 完成 设置 。 


一 Workspace Switcher Preferences 贡 
Switcher 


O Show only the current workspace 


© show al workspacesin: [1 [9 rows 


Workspaces 

Number or workspaces- 四 站 
从 PreferencesN 人 
多 Help | Workspace 1 白 
会 About | Workspace 2 

Workspace 3 
= Remove From Panel Workspace 4 加 | 


口 Show workspace names in switcher 


[|B Lock To Panel | | 四 dep | 


2-64 Workspace Switcher Preferences 
2-63 选择 Preferences( 首 选项 ) 命 令 (工作 区 切换 器 首选 项 ) 对 话 框 


3. 设置 窗口 行为 及 主题 


在 GNOME 桌面 环境 中 ， 默 认 使 用 的 窗口 管理 器 是 metacity， 通 常 不 需要 再 更 换 其 他 
的 窗口 管理 器 。 如 图 2-65 所 示 是 GNOME 桌面 环境 的 默认 典型 窗口 。 


pe Edt View Places Help 


菜单 栏 | [| 


Desktop vmware-tools-distrb 。 anaconda-ks .cfg 


站) 
installlog installlog_ syslog 
li 
[ 国 root v ] 5 items, Free space: 10.9 GB 


图 2-65 GNOME 桌面 环境 的 典型 窗口 


一 个 典型 的 窗口 应 该 包含 标题 栏 、 菜 单 栏 、 工 作 区 、 状 态 栏 等 几 大 元 素 。 
实际 上 ，GNOME 桌面 环境 中 很 多 对 窗口 的 操作 方法 与 Windows 操作 系统 非常 类 
似 ， 典 型 的 操作 方法 包括 但 不 限于 以 下 几 种 : 


e ”双击 标题 栏 可 以 最 大 化 或 者 还 原 窗 口 大 小 。 
®@ 如果 窗口 默认 尺寸 过 大 ， 超 出 了 屏幕 宽度 或 者 高 度 ， 管 理 员 不 能 看 到 整个 窗口 的 


所 有 内 容 。 此 时 ， 可 以 按 下 Alt 键 ， 然 后 在 窗口 的 任意 位 置 按 下 鼠标 左 键 进行 拖 
动 就 可 以 移动 窗口 。 
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e@ 默认 情况 下 ， 在 一 个 工作 区 中 打开 的 窗口 不 能 在 另 一 个 工作 区 中 出 现 ， 要 调 
节 窗 口 在 工作 区 中 出 现 的 属性 ， 可 以 右键 单 击 此 窗口 的 标题 栏 ， 弹 出 的 快捷 菜单 
如 图 2-66 所 示 ， 选 择 相 应 的 命令 ， 可 以 实现 对 应 的 操作 。 例 如 ， 选 择 Always on 
Visible Workspace( 总 在 可 见 工作 区 ) 选 项 ， 当 切换 到 其 他 工作 区 中 时 ， 此 窗口 也 
会 一 起 切换 过 去 ;而 选择 Move to Another Workspace( 移 动 到 其 他 工作 区 ) 选 项 ， 
会 弹出 子 菜单 来 ， 选 择 需要 移动 到 的 工作 区 ， 那 么 此 窗口 会 切换 到 选 定 的 工作 区 中 。 
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图 2-66 窗口 标题 栏 快捷 菜单 
另外 ，GNOME 桌面 环境 中 的 窗口 行为 和 主题 都 是 可 以 设置 的 。 设 置 窗口 行为 的 具体 
操作 步 又 如 下 。 
(1) 依次 选择 面板 中 的 System 一 Preferences 一 Windows 命令 ， 如 图 2-67 所 示 。 
(2) 弹出 Window Preferences( 窗 口 首选 项 ) 对 话 框 ， 如 图 2-68 所 示 。 管 理 员 可 以 对 窗 


口 选择 、 标 题 栏 动作 以 及 移动 键 等 功能 进行 修改 、 设 置 ， 完 成 后 单 击 Close 按钮 关闭 对 话 
框 即 可 。 
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站 图 2-68 Window Preferences 
图 2-67 选择 Windows 命令 (窗口 首选 项 ) 对 话 框 


另外 ，GNOME 桌面 环境 还 提供 了 丰富 的 窗口 样式 ， 用 户 可 以 根据 自己 的 喜好 ， 定 制 
窗口 的 样式 和 各 种 窗口 修饰 元 素 的 风格 ， 这 些 内 容 统称 为 “窗口 主题 ”。 由 于 GNOME 
是 开源 的 项 目 ， 所 以 如 果 用 户 喜 欢 ， 还 可 以 在 Intemet 中 下 载 其 他 用 户 或 者 开发 人 员 提 供 
的 主题 包 进行 安装 。GNOME 中 定制 窗口 主题 的 具体 操作 步骤 如 下 。 
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(1) 依次 选择 面板 中 的 System 一 Preferences 一 Theme 命令 ， 如 图 2-69 所 示 。 

(2) 弹出 Theme Preferences( 主 题 首选 项 ) 对 话 框 ， 如 图 2-70 所 示 ， 在 其 中 选择 某 个 主 
题 后 ， 可 以 看 到 该 主题 的 显示 效果 ， 如 果 满 意 ， 可 以 单 击 Close 按钮 完成 设置 ， 如 果 不 满 
意 ， 也 可 以 单 击 Revert( 还 原 ) 按 钮 恢复 原来 的 设置 。 


和 re - 
Aqmin: 上 人 | 


| Bluecurve [本 


Red Hat Linux defauk theme 
| 贸 


Crux 
Smooth gradionts with Purple nghignts 


This theme does not suggest any particular font orbackground 


名 He X Close 
2-69 选择 Theme( 主 题 ) 命 令 2-70 Theme Preferences( 主 题 首选 项 ) 对 话 框 


4. 设置 文件 管理 器 


GNOME 桌面 环境 中 的 文件 管理 器 使 用 的 是 Nautilus( 鹦 载 螺 ) 工 具 ， 打 开 文 件 管理 器 
的 方法 是 依次 单 击 面板 中 的 Application 一 System Tools 一 File Browser 命令 ， 如 图 2-71 所 
示 。 除 此 之 外 ， 我 们 也 可 以 通过 双击 桌面 上 的 roofs Home 图 标 来 打开 一 个 简化 的 文件 管 
理 器 窗口 。 

默认 的 文件 管理 器 窗口 如 图 2-72 所 示 。 但 其 中 的 很 多 功能 和 显示 效果 都 是 可 以 进行 
自 定义 的 ， 设 置 文件 管理 器 窗口 的 方法 是 在 文件 管理 器 菜单 中 依次 单 击 Edit 一 Preferences 
命令 ， 如 图 2-73 所 示 。 弹 出 File Management Preferences( 文 件 管理 器 首选 项 ) 对 话 框 ， 
如 图 2-74 所 示 ， 其 中 一 共有 5 个 选项 卡 ， 分 别 对 应 不 同 的 设置 功能 。 
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图 2-71 FileBrowser( 文 件 管理 器 ) 命 令 图 2-72 默认 文件 管理 器 界面 


e@ ”Views( 视 图 ) 选 项 卡 ， 可 以 设置 默认 视图 、 图 标 大 小 、 列 表 大 小 等 功能 ， 如 图 2-74 
所 示 。 
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2-74 File Management Preferences 
2-73 选择 Preferences( 首 选项 ) 命 令 (文件 管理 器 首选 项 ) 对 话 框 
Behavior( 行 为 ) 选 项 卡 : 可 以 设置 行为 、 可 执行 文件 、 回 收 站 等 相关 功能 ， 如 图 2-75 


所 示 。 
e@ Display( 显 示 ) 选 项 卡 :可 以 设置 图 标 标题 、 日 期 等 功能 ， 如 图 2-76 所 示 。 
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图 2-75 “Behaviour( 行 为 ) 选 项 卡 图 2-76 ”Display( 显 示 ) 选 项 卡 


List Columns( 列 表 列 ) 选 项 卡 : 可 以 设置 列表 的 显示 项 目 ， 如 图 2-77 所 示 。 
e@ Preview( 预 览 ) 选 项 卡 : 可 以 设置 文件 的 预览 效果 等 功能 ， 如 图 2-78 所 示 。 


加 


Bu | PE 


图 2-77 ”List Columns( 列 表 列 ) 选 项 卡 图 2-78 ”Preview( 预 览 ) 选 项 卡 


42 Linux 网 络 技术 基础 


修改 完成 后 ， 只 需要 单 击 Close( 关 闭 ) 按 钮 关闭 ， 修 改 的 功能 即 可 随 之 更 改 。 

5. 运行 应 用 程序 

在 GNOME 桌面 环境 中 ， 运 行 应 用 程序 主要 有 以 下 几 种 方法 。 

在 “面板 ”中 单 击 Application 菜单 ， 在 菜单 中 选择 需要 运行 的 应 用 程序 。 
在 桌面 上 双击 应 用 程序 的 图 标 。 

在 面板 的 快速 启动 区 中 单 击 应 用 程序 项 目 。 

在 虚拟 终端 窗口 中 输入 命令 以 启动 应 用 程序 。 

在 文件 管理 器 中 找到 应 用 程序 的 可 执行 文件 ， 双 击 此 文件 以 运行 应 用 程序 。 

默认 情况 下 ，GNOME 的 桌面 非常 简洁 ， 只 有 计算 机 、 用 户 文件 夹 以 及 回收 站 3 个 应 
用 程序 的 图 标 ， 如 果 用 户 希 望 将 某 个 应 用 程序 放 在 桌面 上 ， 便 于 随时 使 用 ， 可 以 通过 建立 
应 用 程序 启动 器 的 方法 来 完成 ， 具 体操 作 步 又 如 下 。 

(1) 在 桌面 的 空白 处 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 Create Launcher( 创 建 启 
动 器 ) 命 令 ， 如 图 2-79 所 示 。 

(2) 弹出 Create Launcher( 创 建 启动 器 ) 对 话 框 。 在 前 面 的 内 容 中 我 们 已 经 介绍 了 如 何 
使 用 创建 启动 器 对 话 框 在 面板 中 创建 一 个 “关机 ”快速 启动 器 ， 下 面 我 们 再 以 创建 一 个 图 
像 浏览 器 为 例 ， 具 体 的 使 用 方法 在 此 不 再 介绍 ， 设 置 完成 后 的 Create Launcher( 创 建 启动 
器 ) 对 话 框 如 图 2-80 所 示 。 
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2-79 选择 Create Launcher( 创 建 启 动 器 ) 命 令 2-80 ”Create Launcher( 创 建 启动 器 ) 对 话 框 


(3) 单 击 OK 按钮 ， 完 成 应 用 程序 图 标的 添加 ， 我 们 可 以 在 桌面 上 看 到 新 添加 的 应 用 
程序 图 标 如 图 2-81 所 示 。 


瑟 Applcatiom_Paces sytem 轿 双 丢人 妆 县 合 节 


图 2-81 新 添加 的 应 用 程序 图 标 
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另外 ， 在 GNOME 中 ， 大 部 分 的 设置 工具 都 集中 在 面板 的 System 一 Preferences 子 菜 
单 中 ， 包 括 对 键盘 、 鼠 标 、 字 体 、 桌 面 背景 等 各 种 设置 功能 ， 如 图 2-82 所 示 。 如 果 用 户 
要 对 这 些 项 目 进行 设置 ， 只 需要 通过 命令 打开 对 应 的 设置 窗口 进行 设置 就 可 以 了 。 


= 1653 QO) 


图 2-82 ”Preferences( 首 选项 ) 命 令 


2.5 本 章 小 结 


本 章 中 ， 我 们 主要 介绍 了 安装 Linux 的 基本 过 程 ， 其 中 ， 使 用 虚拟 机 来 安装 Linux 对 
学 习 Linux 的 过 程 有 很 大 的 帮助 。 另 外 ， 我 们 还 着 重 介绍 了 Linux 下 的 图 形 界面 环境 一 一 
GNOME 桌面 环境 的 启动 方法 和 基本 的 使 用 方法 ， 使 读者 对 Linux 的 图 形 环 境 有 了 基本 的 
了 解 。 


2.6 课 后 习题 


1. 填空 题 
(1) Linux 常用 的 安装 方法 有 5 种 : 


(2) 在 Linux 系统 中 ， 以 方式 访问 设备 。 


2. 选择 题 
(1) 系统 用 默认 值 安装 完 之 后 ,其 安全 程度 (  )。 
A. 高 B. 低 
C. 视 出 品 公司 而 定 D. 仍 有 安全 顾虑 , 要 再 进行 校 调 


(2) 下 列 不 是 Linux 系统 进程 类 型 的 是 ( 。 )。 
A. 交互 进程 B. 批 处 理 进 程 ”C. 守护 进程 D. 就 绪 进 程 
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(3) 一 台 PC 上 可 以 有 两 个 IDE 接口 (将 其 称 为 第 一 IDE、 第 二 IDE)， 而 每 个 IDE 接 
口上 可 以 接 两 个 IDE 设备 (将 其 称 为 主 盘 、 从 盘 )。 在 Linux 中 ， 对 第 二 IDE 的 主 盘 的 命名 


名 称 为 ( )。 
A. /dev/hda B. /dev/hdb C. /dev/hdc D. /dev/hdd 
3. 判断 题 
(1) X Window 系统 是 Unix 上 的 标准 图 形 界面 ， 是 一 个 支持 多 种 应 用 程序 的 环境 。 
Linux 用 的 X Window 版 本 通常 是 XFree86。 ¢ 
(2) 一 个 硬盘 最 多 能 够 被 分 成 2 个 主 分 区 。 ( ) 
4. 简 答题 


(1) 简 述 Linux 分 区 与 Windows 分 区 的 不 同 。 
(2) 简 述 Linux 的 安装 过 程 。 
(3) 在 Linux 系统 的 GNOME 桌面 环境 下 ， 如 何 增加 和 删除 面板 ? 


本 章 将 重点 介绍 Linux 下 的 命令 及 其 使 用 方法 。 可 以 说 ， 命 令 
是 学 习 Linux 必须 熟练 掌握 的 基本 知识 之 一 。Linux 下 的 命令 大 概 有 
600 多 个 ， 但 常用 的 命令 其 实 只 有 80 个 左右 ， 而 这 些 常 用 的 命令 是 
必须 灵活 掌握 的 。 虽 然 Linux 拥有 众多 的 发 行 版 本 ， 但 是 其 常用 命 
令 几 乎 都 是 不 变 的 ， 因 此 ， 只 要 掌握 了 这 些 常 用 的 命令 ， 就 能 够 融 
会 贯通 Linux 的 使 用 。 


46 Linux 网 络 技术 基础 


3.1 Linux 下 的 shell 介绍 


在 介绍 Linux 下 丰富 的 命令 之 前 ， 我 们 必须 首先 了 解 Linux 下 shell 的 基本 概念 ， 因 
为 shell 是 Linux 命令 行 模式 的 基本 载体 。 


3.1.1 shell 的 基本 概念 


在 计算 机 科学 中 ，shell 俗称 壳 (用 来 区 别 于 核 )， 是 指 “ 提 供 使 用 者 使 用 界面 ”的 软件 
(命令 解析 器 )。 它 接收 用 户 命令 ， 然 后 调用 相应 的 应 用 程序 。 同 时 它 又 是 一 种 程序 设计 语 
言 。 作 为 命令 语言 ， 它 交互 式 解释 和 执行 用 户 输入 的 命令 或 者 自动 地 解释 和 执行 预先 设 定 
好 的 一 连 串 的 命令 ， 作 为 程序 设计 语言 ， 它 定义 了 各 种 变量 和 参数 ， 并 提供 了 许多 在 高 阶 
语言 中 才 具 有 的 控制 结构 ， 包 括 循环 和 分 支 。 

各 种 操作 系统 都 拥有 自己 的 shell。 以 DOS 操作 系统 为 例 ， 它 的 shell 就 是 
command.com 程序 。 除 了 它 ，DOS 操作 系统 还 出 现 过 很 多 第 三 方 的 命令 解释 程序 ， 例 如 
4DOS、NDOS 等 ， 这 些 命令 解释 程序 完全 可 以 取代 command.com 程序 。 而 在 Linux 下 ， 
最 常见 的 shell 是 bash(Bourne Again Shel)。 除 了 bash， 还 有 C shell、Korn shell、Bourme 
shell 和 Tenex C shell 等 。 每 个 版 本 的 shell 功能 基本 相同 ， 但 各 有 优 缺 点 ， 现 在 Linux 的 
发 行 版 本 一 般 都 以 bash 作为 默认 的 shell。 

实质 上 ，shell 本 身 是 使 用 C 语言 编写 的 程序 ， 是 系统 的 用 户 界面 ， 它 提供 了 用 户 与 
内 核 进行 交互 操作 的 一 种 接口 。 它 接收 用 户 输入 的 命令 并 把 它 送 入 内 核 去 执行 。shell 不 仅 
是 一 种 命令 解释 程序 ， 还 是 一 种 功能 强大 的 解释 型 程序 设计 语言 ， 它 定义 了 各 种 选项 和 变 
量 ， 几 乎 支持 高 级 编程 语言 的 所 有 程序 结构 ， 例 如 变量 、 函 数 、 表 达 式 和 循环 等 。 利 用 
shell 可 以 编写 程序 ， 生 成 功能 强大 的 控制 命令 和 脚本 。 


二 提示 : ”Linux 下 的 shell 编程 又 是 一 个 全 新 的 领域 ， 本 书 中 不 做 详细 介绍 ， 有 兴趣 的 
读者 可 以 参考 其 他 相关 书籍 。 


在 大 多 数 shell 中 还 定义 了 一 些 内 置 的 命令 。 这 主要 是 为 了 加 快 命令 的 运行 ， 并 且 更 
有 效 的 定制 shell 程序 。 我 们 将 shell 自身 解释 执行 的 命令 称 为 内 置 命令 ， 例 如 管理 员 会 经 
常用 到 的 cd、pwd、exit 和 echo 等 都 属于 bash 的 内 置 命令 。 当 用 户 登 录 系 统 后 ，shell 及 
其 内 置 命 令 就 被 系统 加 载 到 内 存 中 ， 并 且 一 直 运 行 、 直 到 用 退出 操作 系统 为 止 。 除 了 内 置 
命令 ， 在 Linux 系统 中 还 有 很 多 可 执行 文件 ， 这 些 可 执行 文件 类 似 于 Windows 下 的 exe 文 
件 ， 这 些 可 执行 文件 同样 可 以 作为 shell 命令 来 执行 ， 例 如 ls 命令 就 是 一 个 可 执行 文件 ， 
存放 在 /bin/ls 中 。 其 实 很 多 Linux 的 命令 都 不 是 shell 的 内 置 命令 ， 这 些 命令 与 内 置 命令 不 
同 ， 只 有 当 它 们 被 调用 的 时 候 才 会 由 系统 载 入 内 存 中 。 表 3-1 给 出 了 Linux 系统 中 的 可 执 
行文 件 分 类 的 说 明 。 

当 用 户 以 系统 的 默认 级 别 (级 别 3) 登 录 Linux， 将 直接 进入 字符 界面 ， 即 shell 的 命令 
提示 符 界面 。 提 示 符 格式 如 下 : 


[root@CentOs ~]# 
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其 中 ，“root” 代 表 登 录用 户 名 ，“centOS” 为 当前 登录 的 服务 器 名 ，“# ”说 明 此 用 户 为 
超级 用 户 。 


表 3-1 Linux 系统 中 的 可 执行 文件 分 类 


类 别 说 明 


内 置 命令 | 构造 在 shell 内 部 
Linux 命令 | 存放 在 /bin、/sbin 目录 中 的 命令 
实用 程序 | 存放 在 /hsr/bin、/usr/sbin、/usr/share、/usr/local/bin 等 目录 下 的 实用 程序 或 者 工具 


用 户 程序 用 户 将 程序 经 过 编译 后 生成 可 执行 文件 ， 也 可 以 作为 shell 命令 执行 


由 shell 语言 编写 的 批 处 理 文件 


shell 执行 命令 解释 的 具体 过 程 为 : 用 户 在 命令 行 中 输入 命令 并 且 提 交 后 ，shell 程序 
首先 检测 其 是 否 为 内 置 命令 ， 如 果 是 ， 就 通过 shell 内 部 的 解释 器 将 命令 解释 为 系统 调 
用 ， 然 后 提交 给 内 核 执行 ， 如 果 不 是 shell 内 置 命令 ， 那 么 shell 会 按照 用 户 给 出 的 路 径 或 
者 根据 系统 的 环境 变量 在 硬盘 中 寻找 对 应 的 命令 ， 然 后 将 其 调 入 内 存 ， 将 其 解释 为 系统 调 
用 ， 提 交 给 内 核 执 行 。 如 图 3-1 给 出 了 shell 对 命令 的 解释 过 程 。 


用 户 输入 命令 
党 
提交 给 shell 
在 系统 中 查找 该 命 
是 否 为 内 置 命令 否 ->| 令 的 文件 并 调 入 内 
存 
是 
vy 
作为 系统 调用 ， 提 
交 给 内 核 执 行 


图 3-1 shell 对 命令 的 解释 过 程 
3.1.2 ”shell 命令 语法 说 明 


Linux 下 的 各 种 shell 的 主要 区 别 在 于 命令 行 的 语法 。 但 对 于 一 些 普 通 的 命令 来 说 ， 各 
个 版 本 的 shell 语法 基本 相同 。 只 有 在 编写 shell 脚本 或 者 使 用 shell 的 高 级 特性 时 ， 才 会 
遇 到 差异 。 

shell 的 语法 分 析 是 指 shell 对 命令 的 扫描 处 理 过 程 ， 也 就 是 把 命令 或 者 用 户 输入 的 内 
容 分 解 称 为 要 处 理 的 各 个 部 分 。 在 Linux 系统 下 ，shell 语法 分 析 包括 很 多 的 内 容 ， 例 如 重 
定向 、 文 件 名 扩展 和 管道 等 。 
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下 面 我 们 将 以 bash 为 例 介绍 shell 命令 的 语法 分 析 。 
1. shell 的 命令 格式 


shell 是 遵循 移动 的 语法 格式 将 用 户 输入 的 命令 进行 分 析 解 释 并 传送 给 系统 内 核 的 。 
shell 的 一 般 格 式 为 : 


command [options] [arguments] 


其 中 : 

@ command 是 命令 的 名 称 。 

@ ”options 是 命令 的 选项 。 

@ arguments 是 命令 的 参数 。 

我 们 将 具有 以 上 格式 特征 的 字符 串 称 为 命令 行 。 命 令 行 是 用 户 与 shell 之 间 交 互 的 一 
种 基本 单位 。 在 命令 行 中 选项 (Options) 是 包含 一 个 或 者 多 个 字母 的 代码 ， 主 要 用 于 改变 命 
令 的 执行 方式 ， 一 般 情 况 下 ， 选 项 前 面 会 带 有 “-” 符 号 ， 用 来 与 参数 进行 区 分 。 例 如 以 
下 的 命令 : 


[root@CentoOs ~]#1s -a 


ls 命令 附带 “-a” 选 项 后 ， 表 示 列 出 当前 目录 下 的 所 有 文件 (包含 隐藏 文件 )。 否 则 ，ls 
命令 只 会 列 出 当前 目录 下 的 文件 名 和 目录 ， 而 不 显示 隐藏 文件 。 

很 多 命令 都 包含 多 个 选项 ， 这 些 选 项 既 可 以 单独 列 出 ， 也 可 以 在 “-” 后 将 所 需要 的 
选项 依次 都 列 出 来 ， 例 如 以 下 命令 的 两 种 书写 方式 是 等 价 的 。 

[root@CentOs ~]#1s -a -1 

[root@CentoOs ~]#1s -al 

参数 (Arguments) 是 指 紧 跟 在 选项 后 的 一 个 或 者 多 个 字符 ， 这 些 字符 指定 了 命令 的 操 
作对 象 ， 文 件 或 者 目录 等 。 例 如 ， 要 显示 /etc 目录 下 的 所 有 文件 的 信息 ， 可 以 使 用 以 下 的 
命令 : 


[root@Centos ~]#1s -al /etc 


有 些 命令 的 参数 是 可 选 的 (例如 ls 命令 )， 而 有 些 命令 是 必须 附带 若干 参数 的 ， 否 则 ， 
shell 会 给 出 错误 提示 信息 。 例 如 ， 移 动 文件 或 者 更 名 的 命令 一 一 mv 命令 就 必须 附带 两 个 
参数 ， 用 来 指明 命令 操作 的 源 文 件 和 目标 文件 。 

在 一 个 命令 行 中 ， 还 可 以 一 次 执行 多 个 命令 ， 只 需要 将 这 些 命令 用 分 号 分 开 ，shell 就 
会 在 解释 命令 的 时 候 依 次 执行 。 例 如 ， 下 面 的 命令 行 同时 执行 了 ls 命令 和 cp 命令 。 

[root@CentoOs ~]#1s -al;cp mufile.txt myfilel.txt 

当然 ， 我 们 也 可 以 将 一 条 命令 在 多 个 命令 行 中 输入 进行 执行 ， 用 “\” 就 可 以 将 一 条 
命令 持续 到 下 一 行 继续 输入 ， 如 下 面 的 例子 : 


[root@Centos ~]#cp -I \ 
>myfile.txt\ 
>myfilel .txt 


另外 ，bash 还 可 以 自动 补 齐 命令 行 ， 即 在 输入 命令 的 时 候 不 必 把 命令 全 部 输 完 ，shell 
能 够 智能 判断 用 户 所 需要 输入 的 命令 。 当 用 户 输入 某 个 命令 的 一 部 分 后 ， 按 Tab 键 ，shell 
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就 可 以 根据 系统 环境 变量 信息 提示 出 与 用 户 输入 命令 相似 的 所 有 命令 和 文件 ， 例 如 : 


[rooteCentOS ~]#if < 按 Tab 键 > 
if ifcfg ifconfig ifdown ifenslave ifnames ifrename ifup 
[root@Centos ~]#if 


从 提示 信息 中 我 们 可 以 看 出 ， 用 户 输 入 “if” 后 按 Tab 键 ， 即 可 显示 出 所 有 以 “if” 
为 起 始 的 所 有 命令 和 可 执行 文件 ， 而 如 果 管 理 员 希 望 输入 的 是 ifconfig， 那 么 只 需要 输入 
“ifco” 再 按 Tab 键 ，shell 就 会 自动 补 全 命令 。 

如 果 管 理 员 需 要 进入 或 者 输入 一 个 很 深 的 目录 中 的 内 容 ， 并 且 目 录 名 又 比较 长 ， 此 时 
使 用 bash 的 自动 补 全 功能 可 以 节省 大 量 的 输入 时 间 。 


2. shell 通配符 的 使 用 


通配符 是 一 些 特殊 的 字符 ， 其 目的 主要 是 为 了 方便 用 户 对 文件 或 者 目录 的 描述 ， 用 户 
可 以 在 命令 行 的 参数 中 使 用 这 些 字符 进行 文件 名 或 者 路 径 的 匹配 ，shell 将 会 把 命令 行 中 指 
定 的 符合 要 求 的 所 有 文件 名 或 者 路 径 名 作为 命令 的 参数 来 执行 命令 。 例 如 用 户 只 需要 以 .sh 
为 后 缀 时 。 就 可 以 使 用 通配符 来 实现 。 

各 个 版 本 的 shell 通配符 规则 基本 相同 ， 下 面 我 们 还 是 以 bash 为 例 介绍 通配符 的 使 用 
方法 。 在 bash 中 ， 常 用 的 通配符 有 “*”、“? ”、“[]”。 

1) “*” 通 配 符 

“*” 通 配 符 用 来 匹配 任意 一 个 或 者 多 个 字符 。 例 如 : 


[root@CentOs ~]#1s *.sh 


此 命令 将 列 出 当前 目录 中 所 有 以 “.sh” 结 尾 的 所 有 文件 。 又 如 : 


[root@CentOs ~]#1s -al /usr/*/*.sh 


此 命令 是 列 出 /usr 目录 的 所 有 子 目 录 中 以 “.sh” 结 尾 的 文件 。 
2) “?” 通 配 符 
“?” 通 配 符 匹 配 任意 一 个 字符 。 使 用 方法 如 下 面 的 两 个 例子 。 


[root@CentOs ~]#1s ab? .txt 
[rootQeCcentOS ~]#1s ab??.txt 


其 中 ， 第 一 条 命令 是 列 出 当前 目录 下 所 有 以 ab 开头 ， 第 三 个 字母 为 任意 符号 ， 然 后 
以 “.txt” 为 后 缀 的 文件 ， 而 第 二 条 命令 是 列 出 当前 目录 下 所 有 以 ab 开头 ， 第 三 、 四 个 字 
母 为 任意 符号 ， 然 后 以 “.txt” 为 后 缀 的 文件 。 

3) “[]” 通 配 符 

“[]” 通 配 符 匹 配 包含 在 方 括号 内 的 单个 字符 。 以 下 面 的 命令 为 例 


[root@CentOs ~]#1s /dev/sda[12345] 
/dev/sdal /dev/sda2 /dev/sda3 


从 上 面 的 例子 我 们 可 以 看 出 ， 命 令 执行 后 ， 系 统 列 出 了 所 有 在 /dev 目录 下 以 盛大 开 
头 ， 第 四 个 字符 是 1、2、3、4 和 5 中 任意 一 个 字符 的 文件 。 

另外 ， 当 “中 ”通配符 中 列举 的 数字 为 连续 数字 的 时 候 ， 也 可 以 以 范围 的 方式 表示 ， 
如 下 面 的 例子 所 示 ， 两 种 表现 方法 完全 等 效 。 
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[root@CentOs ~]#1s /dev/sda[1-5] 


4) 通配符 的 组 合 使 用 
为 了 复杂 匹配 的 需要 ， 通 配 符 还 可 以 组 合 使 用 。 例 如 下 面 的 两 个 例子 : 


[root@Centos ~]#1s [0-7]??ab.conf 
[root@CentoOs ~]#1s [abcd]*.sh 


读者 可 以 根据 前 面 讲述 的 各 种 匹配 符 的 含义 和 使 用 方法 ， 试 着 给 出 这 两 条 命令 的 具体 
窜 义 。 
3. shell 重 定向 


所 谓 的 重 定 向 ， 就 是 不 使 用 系统 默认 的 标准 输入 输出 ， 而 是 重新 指定 新 的 输入 输出 。 
Linux 系统 具有 标准 输入 、 标 准 输出 和 标准 错误 输出 。 用 户 的 shell 将 键盘 作为 默认 的 标准 
输入 ， 默 认 的 标准 输出 和 标准 错误 输出 为 屏幕 。 也 就 是 用 户 从 键盘 输入 命令 ， 然 后 将 结果 
和 错误 信息 输出 到 屏幕 。 所 以 ， 重 定向 也 可 以 分 为 输入 重 定向 、 输 出 重 定向 和 错误 输出 重 
定向 。 要 实现 重 定向 就 需要 了 解 重 定向 操作 符 ，shell 就 是 根据 重 定向 操作 符 来 决定 重 定向 
操作 的 。 

1) 输入 重 定向 

输入 重 定向 用 于 改变 命令 的 输入 源 ， 利 用 输入 重 定 向 ， 就 可 以 将 一 个 文件 的 内 容 作为 
命令 的 输入 ， 而 不 从 键盘 输入 。 用 于 输入 重 定向 的 操作 符 有 “<” 和 “<<”。 如 下 面 的 例 
子 所 示 : 

[root@CentoOs ~]#wc </etc/inittab 

53. 229 1666 

wc 命令 用 来 统计 输入 给 它 的 文件 /etc/inittab 的 行 数 、 单 词 数 和 字符 数 ， 然 后 再 屏幕 中 
输出 。 

还 有 一 种 输入 重 定向 符号 一 一 “<<”， 这 种 重 定向 告诉 shell， 当 前 命令 的 标准 输入 
为 来 自命 令 行 中 一 对 自 定义 分 隔 符 之 间 的 内 容 。 如 下 面 的 例子 所 示 : 


[root@CentoOs ~]#wc <<aaa 
> # Default runlevel. The runlevels used by RHS are: 
># 0 - halt (Do NOT set initdefault to this) 


># 1—- Single user mode 
># 2 - Multiuser, without NFS (The same as 3, if you do not have 
networking) 
># 3- Full multiuser mode 
># 4- unused 
> 非 5 = 
># 6 - reboot (Do NOT set initdefault to this) 
> aaa 
8 65 303 


上 面 的 命令 将 一 对 分 隔 符 aaa 之 间 的 内 容 作 为 wc 命令 的 输入 。 分 隔 符 可 以 是 任意 字 
符 。shell 将 在 第 一 个 分 隔 号 后 开始 读 取 内 容 ， 直 到 出 现 另 一 个 分 隔 号 读 取 结 束 ， 然 后 将 内 
容 送 给 wc 命令 处 理 。 


[对 提示 : 分 隔 符 最 好 定义 为 不 常见 的 符号 或 者 符号 组 合 ， 特 别 注意 在 分 隔 符 之 间 的 内 
容 一 定 不 能 出 现 与 分 隔 符 相同 的 组 合 ， 否 则 输入 将 提前 结束 。 
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2) 输出 重 定向 

输出 重 定向 是 将 命令 的 输出 结果 不 在 屏幕 输出 ， 而 是 输出 到 一 个 指定 文件 中 。 在 
Linux 下 输出 重 定向 用 得 很 多 ， 例 如 ， 某 个 命令 的 输出 很 长 ， 一 个 屏幕 无 法 显示 完毕 ， 我 
们 可 以 将 命令 的 输出 指定 到 一 个 文件 ， 然 后 用 more 命令 查看 这 个 文件 ， 从 而 得 到 命令 输 
出 的 完整 信息 。 

用 于 输出 重 定向 的 操作 符 有 “>” 和 “>>”。 下 面 给 出 了 使 用 “> ”操作 符 的 例子 。 


[root@CentoOs ~]#ps -ef >ps.txt 


将 ps -ef 输出 的 系统 运行 进程 信息 全 部 输入 到 了 ps.txt 文件 ， 而 不 输出 到 屏幕 ， 可 
以 用 more 命令 查看 ps.txt 文件 中 系统 运行 的 进程 信息 。 如 下 面 的 命令 方式 : 


[root@CentoOs ~]#more filel file2 file3 >file 


上 面 的 命令 是 将 flel、file2 和 file3 的 内 容 全 部 输出 到 file 文件 中 ， 类 似 于 合并 文件 
内 容 的 功能 。 

如 果 在 “>” 后 面 指定 的 文件 不 存在 的 话 ，shell 就 会 自动 创建 ， 如 果 文 件 存在 的 话 ， 
那么 这 个 文件 原 有 的 内 容 将 被 覆盖 ; 如 果 不 想 覆盖 存在 的 文件 ， 可 以 使 用 “>>” 操 作 符 。 
例如 : 

[root@CentOs ~]#1s -al /etc/* >>/root/install.log 

此 命令 将 /etc 目录 及 其 子 目录 下 的 所 有 文件 信息 追加 到 /rootinstalllog 文件 的 结尾 。 
/root/install.log 文件 原来 的 内 容 仍然 存在 。 

3) 错误 重 定向 

错误 重 定 向 和 标准 输出 重 定向 一 样 ， 可 以 使 用 操作 符 “2> ”和 “2>>” 实 现 对 错误 输 
出 的 重 定 向 。 如 下 面 的 例子 : 

[root@CentoOs ~]#tar zxvf text.tar.gz 2> error.txt 

tar 是 打包 命令 ， 可 以 在 屏幕 上 看 到 tar 的 解压 过 程 。 如 果 “text.tar.gz” 是 个 损坏 的 压 
缩 包 文件 ， 把 错误 信息 会 输出 到 error.txt 文件 中 。 


4. shell 管道 

管道 可 以 把 很 多 命令 连接 起 来 ， 把 一 个 命令 的 输出 当 作 下 一 个 命令 的 输入 ， 而 不 经 过 
任何 中 间 文 件 。 例 如 可 以 将 第 1 个 命令 的 输入 当 作 第 2 个 命令 的 输出 ， 而 将 第 2 个 命令 的 
输出 当 作 第 3 个 命令 的 输入 。 

通过 管道 符 “|” 可 以 建立 一 个 管道 连接 ， 例 如 下 面 的 命令 : 

[root@CentOs ~]# 1s -al /etc/* | more 

表示 将 /etc 目录 以 及 子 目 录 下 的 所 有 文件 分 屏 显 示 。 

[root@CentOs ~]#ps -eflgrep httpdlwc -1 

这 个 命令 是 查看 系统 中 正在 运行 的 httpd 进程 ， 并 计算 httpd 的 进程 数 。 

5. shell 引用 


在 bash 中 有 很 多 特殊 字符 ， 这 些 字符 本 身 就 具有 特殊 含义 。 如 果 在 shell 的 参数 中 使 
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用 它们 ， 就 会 出 现 问题 。Linux 中 使 用 了 “引用 ”技术 来 忽略 这 些 字符 的 特殊 含义 ， 引 用 
就 是 指 通 知 shell 将 这 些 特 殊 字符 当 作 普通 字符 处 理 。shell 中 用 于 引用 的 字符 有 转 义 字符 
“\”、 单 引号 “”、 双 引号 “""”。 

1) 转 义 字符 “\” 

如 果 将 “\” 放 到 特殊 字符 前 面 ，shell 就 忽略 这 些 特殊 字符 的 原 有 含义 ， 当 作 普 通 字 
符 来 处 理 ， 例 如 : 

[root@CentoOs ~]#1s 

abc?* C:\backup 

[root@CentOs ~]#mv abc\?\* abc 

[root@CentoOs ~]#mv C\:\\backup backup 

上 面 是 将 abc?* 重 命名 为 abc， 将 Ci\backup 重 命名 为 backup。 因 为 文件 名 中 含有 特殊 
字符 ， 所 有 都 使 用 了 转 义 字符 “\”。 

分 单 引 号 “' 演 

将 字符 串 放 到 一 对 单 引号 之 间 ， 那 么 字符 串 中 所 有 字符 的 特殊 含义 将 被 忽略 ， 例 如 ， 

[root@WEBServer ~]#mv C\:\\backup backup 

[root@WEBServer ~]#mv 'C:\backup' backup 

上 面 两 条 命令 的 功能 完全 等 效 。 

3) 双 引 号 “""” 

双 引 号 的 引用 与 单 引号 基本 相同 ， 包 含 在 双 引 号 内 的 大 部 分 特殊 字符 可 以 当 作 普 通 字 
符 处 理 ， 但 是 仍 有 一 些 特殊 字符 即使 使 用 双 引 号 括 起 来 ， 也 仍然 保留 自己 的 特殊 含义 ， 比 
如 “$”、“\” 和 “"” 。 请 看 下 面 的 例子 : 


[root@CentoOs ~]#str="The \$SHELL Current shell is $SHELL" 
[root@CentOs ~]#strl="\$$SHELL" 

[root@Centos ~]#echo $str 

The $SHELL Current shell is /bin/bash 

[root@CentOs ~]#echo $strl 

$/bin/bash 


从 上 面 输出 可 以 看 出 ，“$” 和 “\” 在 双 引 号 内 仍然 保留 了 特殊 含义 。 又 如 : 


[root@CentOs ~]# str="This hostname is “hostname `" 
[root@CentOs ~]# echo $str 
This hostname is WEBServer 


上 面 的 输出 中 ， 字 符 “`” 在 双 引 号 中 也 保留 了 自己 特殊 含义 。 
3.2 Linux 常用 命令 及 使 用 


Linux 拥有 众多 的 命令 ， 下 面 我 们 将 对 其 分 类 进行 介绍 。 


3.2.1 系统 管理 类 


1.1s 命令 
ls 命令 用 来 显示 指定 工作 目录 下 的 内 容 ， 列 出 工作 目录 所 包含 的 文件 及 其 子 目录 。 另 
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外 ，Linux 还 提供 了 dir 命令 (与 DOS 操作 系统 的 命令 类 似 ) 可 以 用 来 替代 ls 命令 ，ls 命令 
的 语法 格式 如 下 : 


1s [选项 ] [路 径 或 者 文件 名 ] 
表 3-2 给 出 了 ls 可 以 使 用 的 选项 及 其 具体 含义 。 


表 3-2 ls 命令 选项 及 其 含义 
含义 


显示 指定 目录 下 的 所 有 文件 和 子 目 录 ， 包 含 隐藏 文件 (在 Linux， 所 有 以 “.” 开 头 的 文 
件 或 者 目录 都 被 认为 是 隐藏 文件 ) 
只 显示 目录 列表 ， 不 显示 文件 


除 文件 名 称 以 外 ， 同 时 列 出 文件 或 者 子 目 录 的 权限 、 使 用 者 和 大 小 等 信息 


在 每 个 文件 名 后 输出 该 文件 的 大 小 
以 上 字 节 的 形式 表示 文件 的 大 小 
以 文件 上 次 访问 的 时 间 排 序 
以 时 间 排 序 

显示 除 组 信息 外 的 详细 信息 

按 列 输出 、 横 向 排列 

对 目录 反 向 排序 


-q 用 ?代替 不 可 以 输出 的 字符 


be 


横向 输出 文件 名 ， 并 以 “作为 分 隔 符 


以 文件 大 小 排序 

列 出 素 有 子 目 录 下 的 文件 

在 每 个 文件 后 附加 一 个 字母 以 说 明 该 文件 的 类 型 。“*” 表 示 可 执行 的 普通 文件 。“/" 表 示 
目录 ,“@" 表 示 符号 链接 ，“" 表 示 FIFOs，“=" 表 示 套 接 字 (sockets) 


记 


按 列 输出 ， 纵 向 排列 
-Q 把 输出 的 文件 名 用 双 引 号 括 起 来 


例如 ， 要 列 出 /usr 目录 下 的 文件 及 其 子 目录 的 详细 信息 ， 可 以 使 用 以 下 命令 : 


[root@Centos /]# 1s -1 /usr 
total 256 
Grwxr-xr-xX 
GIrwxr-xr-X 
QTWXI 一 XI 一 入 
QTWXIE 一 XI 一 和 


又 如 ， 如 果 要 显示 /usrlocal 下 的 所 有 文件 及 其 子 目录 的 详细 信息 ， 包 括 文件 类 型 的 标 
那么 可 以 使 用 一 下 命令 : 


[rootQCentOS /]# 1s -alF /usr/local 

total 88 

Grwxr-xr-x 11 root root 4096 Jan 18 23:09 ./ 

Grwxr-xr-x 14 root root 4096 Jan 18 23:11 ../ 
drwxr-xr-x 2 root root 4096 Jan 27 2010 bin/ 
Grwxr-xr-x 2 root root 4096 Jan 27 2010 etc/ 


root root 69632 Feb 1 18:35 bin 
root root 4096 Jan 27 2010 etc 
root root 4096 Jan 18 23:21 include 
root root 4096 Jan 18 23:12 kerberos 


Pm 
PN 
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Grwxr—xr-x 
QTFWXIT 一 XI 一 
Grwxr-xr-x 
Grwxr—xr-x 
Grwxr-xr-x 
Grwxr-xr-x 
Grwxr-xr-x 


root root 4096 Jan 27 2010 games/ 
root root 4096 Jan 27 2010 include/ 
root root 4096 Jan 27 2010 lib/ 
root root 4096 Jan 27 2010 libexec/ 
root root 4096 Jan 27 2010 sbin/ 
root root 4096 Jan 18 23:09 share/ 
root root 4096 Jan 27 2010 src/ 


Ne 


2. pwd 命令 


pwd 命令 用 来 显示 当前 的 工作 目录 ， 用 户 输入 pwd 命令 即 可 知道 目前 所 在 工作 目录 
的 绝对 路 径 名 ， 如 下 面 的 例子 : 


[root@CentOs bin]# pwd 
/usr/local/bin 


3. cd 命令 


cd 命令 可 以 改变 当前 的 工作 目录 。 有 具体 语法 如 下 : 
cd [目录 名 ] 


cd 命令 的 选项 及 其 说 明 如 表 3-3 所 示 。 
表 3-3 cd 命令 选项 及 其 说 明 


选 项 含义 
cd [目录 名 ] 切换 到 目录 名 指定 的 目录 下 (注意 Linux 目录 名 的 对 大 小 写 敏感 ) 
cd 或 者 cd~ 返回 当前 用 户 的 默认 工作 目录 
cd~[ 用 户 名 ] 切换 到 指定 用 户 的 工作 目录 下 
cd .或 者 cd../ 返回 到 上 一 级 目录 
cd/ 返回 到 根 目录 
4. date 命令 


date 命令 用 来 显示 或 者 修改 系统 的 时 间 和 日 期 。 普 通用 户 智能 使 用 date 来 查看 系统 时 
间 。 只 有 超级 用 户 才 有 权限 使 用 date 命令 来 修改 日 期 。date 命令 的 语法 如 下 所 示 : 
date [选项 ] 显示 时 间 格 式 (以 “+” 开 始 ) 
date 命令 的 选项 以 及 含义 如 表 3-4 所 示 。 
表 3-4 date 命令 选项 及 其 说 明 
选 项 

-s 或 者 --set 
-d 或 者 --date 


另外 ，date 命令 可 以 设置 的 显示 时 间 格 式 非常 丰富 ， 可 使 用 的 格式 及 其 说 明 如 表 3-5 
所 示 。 


含 义 


设置 系统 时 间 
按照 显示 时 间 格 式 来 显示 系统 时 间 
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表 3-5 date 命令 显示 时 间 格 式 


格 式 含义 
%H 显示 小 时 ， 显 示 格 式 为 00~23 
%I 显示 小 时 ， 显 示 格式 为 01~12 
%k 显示 小 时 ， 显 示 格 式 为 0~23 
%l 显示 小 时 ， 显 示 格 式 为 1~12 
%M 显示 分 钟 ， 显 示 格式 为 00~59 
%S 显示 秒 钟 ， 显 示 格 式 为 00~59 
%p 显示 AM( 上 午 ) 或 者 PM( 下 午 ) 
Yr 显示 时 间 格 式 设 为 hh:mm:ss， 显 示 AM 或 者 PM 
%T 显示 时 间 格 式 设 为 hh:mm:ss 
x 显示 年 份 和 日 期 ,格式 设 为 mnydd/yyyy 
%X 显示 时 间 ， 格 式 相当 于 %H:%M:%sS 的 组 合 
%a 显示 星期 
%b 或 者 %B 显示 月 份 ，%b 显示 月 份 的 英文 简称 ，%B 为 英文 全 称 
%m 显示 月 份 ， 设 定格 式 为 01~12 
%e 显示 日 期 和 时 间 格 式 为 %a 
%Z 显示 时 区 
%d 显示 为 一 个 月 的 第 几 天 
%D 显示 年 份 和 月 份 ， 格 式 为 mnydd/yy，yy 表示 年 份 的 最 后 两 位 
%Y 或 者 %y 显示 年 份 ，%Y 为 显示 完成 的 年 份 ，%y 为 显示 年 份 的 最 后 两 位 
%e 显示 日 期 和 时 间 ， 格 式 为 “%a %d %b %Y %r %Z” 的 组 合 


例如 ， 我 们 如 果 要 在 显示 时 间 的 过 程 中 写 入 一 些 说 明 性 的 文字 ， 可 用 如 下 的 命令 格式 : 


[root@CentoOs /]# date '+today is %x %a,the time is %Xx.' 
today is 08/02/12 Wed,the time is 11:10:17. 


如 果 要 修改 系统 时 间 ， 首 先 要 确认 登录 用 户 具 有 超级 权限 ， 然 后 使 用 “date -s” 来 设 
定时 间 。 具 体 的 设 定时 间 的 表示 方式 如 下 面 的 例子 所 示 : 


# 设 定 系 统 日 期 
# 设 定 系 统 时 间 


[root@Centos /]#date -s 20110505 
[root@Centos /]#date -s 15:00 


[rootecentos /]#date -s "20110505 15:00" 间 设 定 系统 时 间 和 日 期 
另外 ， 我 们 也 可 以 使 用 “date -d” 来 设 定 描述 的 日 期 。 如 下 面 的 例子 所 示 : 
[rooteCentOS /]# date '+%Y-%m-%d' # 显 示 当 前 日 期 
2012-02-08 

[rootecentoSs /]# date -d "5 days ago" +sY-%m-sd “， 才 显示 5 天 前 的 日 期 
2012-02-03 

5. passwd 命令 


passwd 命令 用 来 修改 用 户 的 密码 。 普 通用 户 只 能 修改 自己 的 用 户 密码 ， 超 级 用 户 则 
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可 以 修改 自己 和 普通 用 户 的 密码 。 语 法 格式 为 : 


passwd [用 户 名 ] 


修改 密码 的 范例 如 下 所 示 : 


[root@Centos /]#passwd # 修 改 自己 的 密码 
[rootecentos /]#passwd root  #root 用 户 修改 自己 的 密码 
[rootecentos /]#passwd [用 户 名 ] “# 超 级 用 户 修改 其 他 用 户 的 密码 


输入 命令 后 ， 系 统 会 要 求 用 户 输入 两 次 新 的 密码 ， 输 入 成 功 后 ， 新 的 密码 就 立即 生效 。 
6. su 命令 


su 命令 用 来 改变 用 户 身份 。 命 令 格 式 为 : 
su [选项 ] [用 户 名 ] 


su 命令 的 可 用 选项 及 其 具体 含义 如 表 3-6 所 示 。 
表 3-6 su 命令 选项 及 其 含义 


加 载 相应 用 户 的 环境 变量 


使 目前 的 shell 成 为 改变 用 户 后 的 默认 shell 
改变 用 户 身 份 ， 但 是 不 改变 环境 变量 


例如 ， 普 通用 户 如 果 想 成 为 超级 用 户 ， 可 以 使 用 以 下 两 个 命令 中 的 一 个 : 


[rootecentoSs /]#su - # 提 升 权限 ， 并 且 加 载 root 环境 变量 
[root@Centos /]#su # 只 提升 权限 ， 不 加 载 环境 变量 


然后 根据 系统 提示 输入 超级 用 户 的 密码 即 可 成 为 超级 用 户 。 
狂 注意 : 。 “su” 与 “su -” 命 令 的 区 别 在 于 ，“su” 命令 没有 加 载 root 环境 变量 ， 因 
此 某 些 命令 因为 找 不 到 路 径 而 可 能 无 法 执行 。 
7. clear 命令 
clear 命令 用 来 清除 用 户 的 屏幕 信息 。 使 用 格式 为 : 
clear 
8. man 命令 
Man 命令 用 来 显示 指定 命令 的 帮助 信息 。 其 格式 为 : 
man [命令 名 称 ] 
例如 ， 想 要 获得 关于 clear 命令 的 帮助 信息 ， 输 入 的 命令 及 其 显示 的 信息 如 下 : 


[root@Centos /]#man clear 
NAME 
clear - clear the terminal screen 


SYNOPSIS 
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DESCRIPTION 

clear clears your screen if this is possible. It looks in the 
environ— 

ment for the terminal type and then in the terminfo database to 
figure 


SEE ALSO 
tput (1), terminfo(5) 


(END) 


9. who 命令 


out how to clear the screen. 


clear ignores any command-line parameters that may be present. 


This describes ncurses version 5.5 (patch 20060715). 


who 命令 用 来 显示 当前 登录 到 系统 中 的 用 户 及 其 信息 ， 使 用 格式 为 : 
who [选项 ] [file] 


who 命令 的 选项 及 其 含义 如 表 3-7 所 示 。 


表 3-7 who 命令 选项 及 其 含义 


含 义 
列 出 所 有 信息 ， 即 所 有 选项 
列 出 系统 最 新 启动 的 时 间 日 期 
列 出 素 有 可 登录 的 终端 信息 
仅 列 出 关于 当前 终端 的 信息 。 相 当 于 “who am I” 命 令 
列 出 在 本 地 系统 上 的 用 户 和 用 户 的 清单 
显示 当前 系统 的 运行 级 别 
仅 显示 名 称 、 线 路 和 时 间 字 段 的 信息 


-或 者 -w 


显示 当前 每 个 用 户 的 用 户 名 、 登 录 终 端 、 登 录 时 间 、 线 路 活动 和 进程 标识 
显示 tty 终端 的 信息 ， 其 中 ，“+” 标 识 对 任何 人 可 写 ，“-” 标 识 仅 对 root 用 户 和 
所 有 者 可 写 ，“?” 标 识 遇 到 线路 故障 


who 命令 的 一 般 输 出 格式 为 : 

用 户 名 [状态 ] 线路 时 间 [活动 ] [进程 标识 ] (主机 名 ) 

各 个 字段 的 具体 含义 为 : 

@ ”用 户 名 : 用 户 的 登录 名 。 

@ ”状态 : 表明 线路 对 用 户 是 否 都 是 可 写 的 。 

@ 线路 : 可 表示 的 内 容 为 ty、pts/1、pts/2 等 ， 这 些 线路 的 标识 可 以 在 /dev 目录 中 


找到 。 
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时 间 : 用 户 登录 系统 的 时 间 。 
活动 : 某 个 用 户 在 自己 的 线路 上 最 后 一 次 活动 发 生 以 来 到 现在 的 时 间 。 如 果 此 项 
显示 的 为 “.”， 说 明 一 分 钟 内 有 线路 活动 ， 如 果 线 路 保持 静止 已 经 超过 24 小 时 
或 者 自 系统 启动 以 来 还 没有 被 使 用 过 ， 此 项 将 显示 为 “old” 
@ ”进程 标识 : 用户 登 录 shell 的 进程 id。 
e@ ”主机 名 : 登录 到 Linux 系统 的 客户 端 计算 机 的 名 称 。 
默认 情况 下 ，who 命令 是 通过 读 取 Linux 系统 中 的 /var/run/utmp 文件 来 获取 需要 的 信 
息 的 。 但 是 如 果 管理 员 对 Linux 系统 做 过 相应 的 修改 ， 希 望 who 读 取 其 他 的 文件 ， 那 么 可 
以 在 [file] 选 项 中 指定 需要 读 取 的 文件 。 
例如 ， 我 们 要 查看 系统 的 运行 级 别 是 什么 ， 可 以 使 用 以 下 的 命令 : 
[root@CentOs ~]# who -r 
run-level 3 2012-02-08 10:31 last=S 
如 果 要 显示 系统 最 新 的 启动 日 期 ， 以 及 当前 每 个 用 户 的 登录 详情 和 终端 状态 ， 可 以 使 
用 以 下 的 命令 : 


[root@CentOs ~]# who -buT 
System boot 2012-02-08 10:31 


root *" Ey 2012=02=08 10:32 02:05 4259 

root + pts/0 2012-02-08 10:35 4648 (:0.0) 

root + pts/1 2012=02-08 10:51 加 4753 (210.31.197.88) 
10. w 命令 

W 命令 用 来 显示 登录 到 系统 的 用 户 信息 ， 其 使 用 格式 为 : 

w [选项 ] [用 户 ] 


w 命令 可 使 用 的 选项 及 其 具体 含义 如 表 3-8 所 示 。 
表 3-8 w 命令 选项 及 其 含义 


选 项 含义 

汪 不 显示 输出 信息 的 标题 

1 用 长 格式 输出 

| 用 短 格式 输出 ， 不 显示 用 户 登录 时 间 ，jCPU 和 PCPU 时 间 
Vv 显示 版 本 信息 


如 果 使 用 [用 户 ] 选 项 ， 则 说 明 只 列 出 该 用 户 的 信息 。 
例如 ， 使 用 w 命令 显示 当前 用 户 登录 信息 的 格式 为 : 


[root@CentOs ~]# w 
12:50:52 up 2:19, 3 users, load average: 0.06, 0.01, 0.00 


USER > FROM LOGIN@ IDLE JCPU PCPU WHAT 

root ttyn 2 L0232 2:16m 0.71s 0.00s /bin/sh 
/usr/bi 

root pts/0 :0.0 10:35 1.00s 0.10s 0.01s w 
root pts/1 210.31.197.88 10:35 1.00s 0.10s 0.0ls w 


显示 内 容 的 具体 含义 为 : 
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@ 第 一 行 给 出 了 当前 的 系统 时 间 ， 系 统 自 启动 到 现在 已 经 运行 的 时 间 。 登 录 到 系统 
中 的 用 户 数 和 系统 的 平局 负载 。 平 局 负载 是 以 1 分 钟 、5 分 钟 、15 分 钟 内 系统 的 

平局 负载 情况 来 显示 的 。 

USER: 登录 到 系统 的 用 户 名 。 

TTY: 用 户 使 用 的 TTY 名 称 。 

FROM: 表示 用 户 的 登录 地 点 ， 一 般 显 示 为 远程 登录 主机 的 人 P 地 址 或 者 主机 名 。 

LOGIN@: 用 户 登 录 的 日 期 和 时 间 。 

IDLE: 表示 某 个 程序 上 次 从 终端 开始 执行 到 现在 所 持续 的 时 间 。 

JCPU: 表示 该 终端 所 有 进程 及 子 进程 所 使 用 的 系统 总 时 间 。 

PCPU: 当前 活动 的 进程 使 用 的 系统 时 间 。 

WHAT: 当前 用 户 执行 进程 的 名 称 和 选项 。 


11. uname 命令 


uname 命令 用 来 显示 操作 系统 的 相关 信息 。 具 体 的 使 用 格式 为 : 
uname [选项 ] 


uname 命令 可 使 用 的 选项 及 其 说 明 如 表 3-9 所 示 。 
表 3-9 uname 命令 选项 及 其 含义 


选 项 含义 
显示 操作 系统 的 全 部 信息 
-m 显示 系统 CPU 类 型 
-n 显示 操作 系统 的 主机 名 
-s 显示 操作 系统 类 型 
4 显示 操作 系统 内 核 版 本 


例如 ， 要 查看 操作 系统 的 全 部 信息 ， 使 用 “uname -a” 及 其 显示 信息 为 : 


[root@CentOs ~]# uname -a 
Linux CentOs 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:35 EDT 2010 i686 i686 
i386 GNU/Linux 


从 上 面 的 信息 我 们 可 以 看 出 ， 操 作 系 统 的 主机 名 为 CentOS， 内 核 版 本 为 2.6.18- 
194.el5， 服 务 器 使 用 的 是 386 架构 的 CPU。 


12. uptime 命令 


uptime 命令 用 来 输出 系统 任务 队列 的 信息 ， 输 出 的 信息 包括 : 当前 系统 时 间 和 系统 开 
机 运行 的 时 间 ， 目 前 有 多 少 用 户 在 线 和 系统 平局 负载 等 。 显 示 的 具体 信息 如 下 面 的 例子 : 


[root@CentOs ~]# uptime 
13:21:55 up 2:50, 2 users, load average: 0.00, 0.02, 0.00 


13. last 命令 
last 命令 可 以 列 出 目前 或 者 曾经 登录 系统 的 用 户 相关 信息 。last 命令 实际 上 是 读 取 文 
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件 /var/log/wtmp 中 的 信息 ， 并 把 该 文件 中 记录 的 登入 记录 全 部 显示 出 来 。 其 使 用 的 格式 为 : 
last [选项 ] [-n 显示 列 数 ] 
last 命令 的 选项 及 其 具体 含义 如 表 3-10 所 示 。 
表 3-10 last 命令 选项 及 其 含义 


选 项 含义 
-a 将 从 何 处 登录 系统 的 主机 名 或 者 IP 地 址 显示 在 最 后 一 行 
R 不 显示 登入 系统 的 主机 名 或 者 人 P 地址 
-x 显示 系统 关机 、 重 启 以 及 执行 等 级 的 改变 等 信息 
“-n 行 数 ”或 者 “- 行 数 ” 设置 列 出 名 单 的 显示 行 数 
-d 将 显示 的 他 地 址 转换 为 主机 名 
例如 ， 要 显示 最 近 的 5 条 系统 的 登录 信息 ， 并 且 将 人 P 地 址 显示 在 最 后 面 的 命令 及 其 
显示 效果 如 下 面 的 命令 所 示 : 
[root@CentOs ~]# last -a5 
root pts/0 Wed Feb 8 10:35 still logged in :0.0 
root ttyl Wed Feb 8 10:32 still logged in 
reboot “System boot Wed Feb 8 10:31 (03:06) 2:6:18-~194.615 
root pts/0 Mon Feb 6 12:17 - 15:11 (02:53) :0.0 
root ttyl Mon Feb 6 12:12 - down (02:58) 


14. dmesg 命令 

dmesg 命令 用 来 显示 系统 的 开机 信息 。 由 于 Linux 在 开机 时 屏幕 信息 滚动 很 快 ， 如 果 
管理 员 没 有 查看 仔细 或 者 想 详细 查看 登录 时 显示 的 各 种 信息 ， 那 么 可 以 在 开机 后 使 用 
dmesg 命令 ， 实 际 上 ， 开 机 信息 已 经 储存 在 /varlog/dmesg 文件 中 ，dmesg 就 是 通过 读 取 这 
个 文件 再 将 信息 显示 出 来 的 。 其 具体 的 使 用 格式 为 : 

dmesg [选项 ] 

dmesg 命令 的 选项 及 其 具体 含义 如 表 3-11 所 示 。 

表 3-11 dmesg 命令 选项 及 其 含义 

含义 

显示 开机 信息 后 ， 清 除 缓存 信息 
设置 缓冲 区 大 小 ， 默 认为 8192 
设置 记录 信息 的 层级 


[时 提示 : Linux 在 开机 过 程 中 ， 会 将 开机 信息 先 储存 在 缓冲 区 (Ring Buffer) 中 ， 使 用 
dmesg 可 以 对 这 个 缓冲 区 进行 大 小 、 清 除 等 设置 。 
15. free 命令 
free 命令 用 来 显示 系统 内 存 的 使 用 状况 ， 包 括 物理 内 存 、 虚 拟 内 存 、 共 享 内 存 和 系统 
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缓存 等 。 其 具体 的 使 用 格式 为 : 
free [选项 ] [-s 间隔 秒 数 ] 
free 命令 的 可 用 选项 及 其 具体 含义 如 表 3-12 所 示 。 
表 3-12 free 命令 选项 及 其 含义 


选 项 含义 
| 以 Byte 为 单位 显示 内 存 的 使 用 情况 
| 以 MB 为 单位 显示 内 存 的 使 用 情况 
芝 | 以 kB 为 单位 显示 内 存 的 使 用 情况 
二 | 显示 内 存 的 总 和 


-s_ 间 隔 秒 数 根据 指定 的 间隔 秒 数 持续 显示 内 存 的 使 用 情况 


不 显示 系统 的 缓冲 区 列 
例如 ， 以 MB 为 单位 显示 内 存 的 使 用 情况 ， 可 以 使 用 以 下 命令 : 


[root@CentOs ~]# free -m 


total used free shared buffers cached 
Mem: 1010 520 490 0 53 334 
-/+ buffers/cache: 131 879 
Swap: 2047 0 2047 


从 上 面 的 显示 信息 我 们 可 以 看 出 ， 系 统 总 内 存 大 小 为 1GB， 已 经 使 用 了 520MB， 而 
交换 区 (Swap) 的 大 小 为 2GB， 还 没有 使 用 。 

16. ps 命令 

ps 命令 用 来 显示 系统 当前 的 运行 进程 ， 其 使 用 格式 如 下 : 

ps [选项 ] 

ps 的 功能 非常 强大 ， 是 管理 员 在 日 常 维护 中 经 常 要 用 到 的 命令 ， 使 用 该 命令 可 以 确定 
哪些 进程 正在 运行 ， 进 程 占用 了 多 少 资源 ， 进 程 的 运行 状态 是 否 正常 ， 进 程 是 否 已 经 结 
束 ， 有 没有 出 现 僵尸 进程 等 。 其 可 以 使 用 的 选项 也 非常 多 ， 在 这 里 我 们 仅 列 出 一 些 常用 的 
选项 ， 如 表 3-13 所 示 。 


表 3-13 ps 命令 常用 选项 及 其 含义 


选 项 含义 
-A 或 者 -e 显示 所 有 进程 
-a 显示 一 个 终端 的 所 有 进程 ， 包 括 含 有 每 个 程序 的 完整 路 径 
-d 显示 所 有 进程 ， 但 省 略 所 有 的 会 话 引 线 

显示 所 有 系统 进程 ， 没 有 控制 终端 的 进程 ， 同 时 显示 各 个 命令 的 具体 路 径 。dx 

和 不 可 合用 
3 pid 进程 使 用 CPU 的 时 间 
-uuid 或 者 


选择 有 效 的 用 户 id 或 者 是 用 户 名 


Username 


62 Linux 网 络 技术 基础 
续 表 
选 项 含义 
-ggid 加 
ed 显示 组 的 所 有 进程 
groupname 
U username 显示 该 用 户 下 的 所 有 进程 ， 且 显示 各 个 命令 的 详细 路 径 ， 如 : ps U zhang 
工 详细 显示 程序 执行 的 路 径 群 ， 通 常 和 其 他 选项 联 用 。 如 : ps -fa 或 者 ps -入 
-| 长 格式 (有 下 、wchan、C 等 字段 ) 
j 作业 格式 
-0 用 户 自 定义 格式 
Vv 以 虚拟 存储 器 格式 显示 
s 以 信号 格式 显示 
-m 显示 所 有 的 线程 
e 命令 之 后 显示 环境 (如 : ps -de; ps -a e) 
h 不 显示 第 一 行 
-C 只 显示 进程 的 名 称 ， 不 显示 进程 的 完成 路 径 
直接 使 用 ps 命令 可 以 查看 使 用 者 自己 的 进程 ， 如 下 面 的 命令 和 显示 内 容 
[root@Centos ~]# ps 
PID TTY TIME CMD 
5255 pts/0 00:00:00 bash 
5269 pts/0 00:00:00 ps 
显示 的 项 目 主要 有 : 
e@ ”PID: 进程 的 标识 号 。 
e@ TIY: 进程 所 属 的 终端 控制 台 。 
@ TIME: 进程 使 用 的 总 CPU 时 间 。 
e CMD: 正在 执行 的 命令 行 。 
ps 命令 常用 的 选项 有 e、f、a、u 等 ， 例 如 ， 如 果 要 查看 系统 的 所 有 进程 ， 可 以 使 用 
以 下 的 命令 : 
[root@CentOs ~]# ps -ef 
UID PID PPID C STIME TTY TIME CMD 
root 1 0 0 -11:23 3 00:00:01 init [3] 
root 生肉 EL 23- 00:00:00 [migration/0] 
root 3 让、 2 00:00:00 [ksoftirqd/0] 
root 4 0 1323 2 00:00:00 [watchdog/0] 
root EF .23 00:00:00 [events/0] 
root 6 F 23 00:00:00 [khelper] 
17. top 命令 


top 命令 提供 了 实时 监控 系统 处 理 器 状态 的 功能 ， 它 能 够 实时 显示 出 系统 中 各 个 进程 
的 资源 占用 情况 。 该 命令 还 可 以 按照 CPU 的 使 用 、 内 存 使 用 和 执行 时 间 等 数据 对 系统 任 
务 进程 进行 排序 显示 ， 并 且 top 命令 还 可 以 通过 交互 式 的 命令 进行 设 定 显示 效果 。 
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top 命令 的 使 用 格式 为 : 


top [选项 ] 


top 的 选项 也 非常 丰富 ， 本 书 只 列 出 一 些 常用 的 选项 及 其 具体 含义 ， 如 表 3-14 所 示 。 


表 3-14 top 命令 常用 选项 及 其 含义 


选 项 含义 


指定 每 两 次 屏幕 信息 刷新 之 间 的 时 间 间 隔 


不 显示 闲置 进程 或 者 僵尸 进程 


显示 进程 的 整个 命令 路 径 ， 而 不 是 只 显示 命令 名 称 


使 top 命令 在 安全 模式 下 运行 ， 为 了 避免 潜在 的 不 安全 性 ， 此 时 top 的 交互 式 命令 不 可 用 


分 屏 显 示 输 出 信息 ， 结 合 “-n” 选 项 可 以 将 屏幕 信息 输出 到 文档 


Top 输出 信息 的 更 新 次 数 ， 完 成 后 将 退出 top 命令 


与 ps 命令 的 最 大 不 同 在 于 ，top 命令 可 以 持续 运行 一 一 即 交 互 模式 ， 可 以 实时 显示 系 


统 的 运行 状态 。 在 交互 模式 下 ， 有 很 多 与 普通 模式 不 同 的 命令 ， 这 些 命令 都 是 单个 字母 ， 
从 应 用 的 角度 来 说 ， 掌 握 这 些 命令 至 关 重 要 。top 命令 的 交互 模式 命令 及 其 具体 含义 如 
表 3-15 所 示 。 
表 3-15 top 交互 模式 常用 命令 及 其 含义 
命令 含义 
了 或 者 ? 显示 帮助 信息 ， 给 出 交互 式 命令 行 的 一 些 基 本 说 明 
及 终止 一 个 进程 ， 系 统 将 提示 用 户 输入 需要 终止 进程 的 PID 
I 忽略 /显示 闲置 进程 或 者 僵尸 进程 
改变 top 输出 信息 两 次 刷新 之 间 的 时 间 。 系 统 将 提示 输入 新 的 刷新 时 间 ， 单 位 为 
秒 ， 也 可 以 通过 输入 小 数 来 设 定 为 毫秒 级 ; 如果 输入 0， 那 么 系统 输出 将 不 断 刷 
新 ， 默 认 的 刷新 时 间 为 5 秒 。 如 果 管 理 员 是 通过 肉眼 进行 观察 ， 建 议 设置 为 1~30 
秒 之 间 
6 或 者 O 改变 top 输出 信息 中 显示 项 目的 排序 。 按 小 写 的 a~z 键 可 以 将 相应 的 列 向 右 移动 ， 
而 按 大 写 的 A~Z 键 可 以 将 相应 的 列 向 左 移动 ， 最 后 按 Enter 键 确 定 
f 或 者 F 从 当前 显示 列表 中 添加 或 者 删除 项 目 。 按 f 键 后 会 在 屏幕 中 显示 出 列 的 序号 ， 以 


“a~z” 编 号 ， 按 相应 的 字母 按钮 可 以 选择 显示 或 者 隐藏 该 列 ， 最 后 按 Enter 键 确定 
切换 显示 内 存 信 息 
切换 显示 进程 和 CPU 状态 信息 


重新 设置 一 个 进程 的 优先 级 。 系 统 将 提示 用 户 输入 需要 修改 的 进程 PID 以 及 需要 设 
置 的 进程 优先 级 。 请 注意 ， 输 入 一 个 正 值 将 降低 其 优先 级 ;输入 一 个 负 值 将 提高 其 
优先 级 ， 默 认 值 是 10 


切换 显示 平均 负载 和 启动 时 间 信息 


退出 top 命令 
切换 显示 完整 命令 行 和 命令 名 称 信息 
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续 表 


根据 使 用 内 存 的 大 小 进行 排序 输出 


根据 CPU 的 使 用 百分比 大 小 排序 输出 


根据 累计 时 间 进 行 排序 输出 


切换 到 累计 模式 
将 当前 top 设置 写 入 ~/toprc 文件 中 


如 果 管 理 员 希望 实时 查看 系统 进程 及 资源 的 使 用 情况 ， 可 以 直接 输入 top 命令 即 可 ， 


屏幕 将 切换 到 top 程序 的 显示 界面 ， 显 示 的 内 容 如 下 所 示 : 


top - 09:13:04 up 3 min, 2 users, load average: 2.09, 0.86, 0.32 
Tasks: 119 total, 2 running, 117 sleeping, 0 stopped, 0 zombie 
Cpu(s): 10.8%us, 9.5%sy, 0.5%ni, 23.4%id, 55.1%wa, 0.1%hi, 0.7%si, 0.0%st 
Mem: 1035108k total, 410288k used, 624820k free, 19400k buffers 


Swap: 2097144k total, Ok used, 2097144k free, 268376k cached 
PID USER PR NI VIRT RES SHR S %CPU %$MEM TIME+ COMMAND 
4584 root 35 19 59056 1l6m 6308 D 8.6 1.7 0:01.17 yum-updatesd-he 
4399 root 14 -1 35064 9508 5508 S 1.2 0.9 0:01.20 X 

1 root 15 0 2072 628 544S 0.0 0.1 0:00.99 init 
2 root RT -5 0 0 0S 0.0 0.0 0:00.00 migration/0 
3 root 34 19 0 0 0S 0.0 0.0 0:00.00 ksoftirqd/0 
4 root RE -二 0 0 0S 0.0 0.0 0:00.00 watchdog/0 
5 root 20 =5 0 0 0S 0.0 0.0 0:00.00 events/0 
6 root 0 = 0 0 0S 0.0 0.0 0:00.00 khelper 
7 root 0 =5 0 0 0S 0.0 0.0 0:00.00 kthread 
10 root 20 =5 0 0 0S 0.0 0.0 0:00.07 kblockd/0 
11 root 20 -5 0 0 0S 0.0 0.0 0:00.00 kacpid 
175 root 37 := 0 0 0S 0.0 0.0 0:00.00 cqueue/0 
178 root 15: <5 0 0 0S 0.0 0.0 0:00.00 khubd 
180 root i 0 0 0S 0.0 0.0 0:00.00 kseriod 
246 root 15 0 0 0 0S 0.0 0.0 0:00.00 khungtaskd 
247 root 23 0 0 0 0S 0.0 0.0 0:00.00 pdflush 
248 root 5 人 0 0 0 0S 0.0 0.0 0:00.00 pdflush 


从 上 面 的 内 容 我 们 可 以 看 出 ，top 输出 信息 分 为 上 半 部 分 的 统计 信息 区 和 下 半 部 分 的 


进程 信息 区 两 块 ， 其 中 统计 信息 区 为 前 5 行 所 显示 的 信息 。 


1) 统计 信息 区 

统计 信息 区 主要 分 为 3 块 内 容 ， 其 中 第 1 行为 任务 队列 的 信息 ， 包 含 的 信息 有 : 
e@ ”当前 系统 时 间 。 

系统 已 经 运行 的 时 间 。 

e@ ”当前 登录 系统 的 用 户 数 。 

e ”系统 的 平均 负载 。 

第 2 行 和 第 3 行为 进程 和 CPU 的 信息 。 具 体 包括 : 

e@ ”进程 的 总 数 。 

e ”正在 运行 的 进程 数 。 
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处 于 休眠 的 进程 数 。 

停止 的 进程 数 。 

僵尸 进程 数 。 

用 户 进程 占用 CPU 的 百分比 。 

系统 进程 占用 CPU 的 百分比 。 

用 户 进程 空间 内 改变 过 优先 级 的 进程 占用 CPU 的 百分比 。 
空闲 CPU 占用 的 百分比 。 

等 待 输 入 输出 的 进程 占用 CPU 的 百分比 。 
4 行 和 第 5 行为 内 存 的 基本 信息 ， 主 要 包括 : 
系统 的 物理 内 存 大 小 。 

已 经 使 用 的 物理 内 存 大 小 。 
目前 空闲 内 存 的 大 小 。 

用 作 内 核 缓冲 区 的 内 存 的 大 小 。 
交换 分 区 内 存 的 大 小 。 

已 经 使 用 的 交换 分 区 的 大 小 。 

空闲 的 交换 分 区 的 大 小 。 

高 速 缓存 的 大 小 。 

进程 信息 区 


进程 信息 区 主要 显示 了 每 个 进程 的 实时 运行 状态 ， 其 中 字段 的 具体 含义 为 : 


3.2.2 


PID: 进程 的 id。 

USER: 进程 所 有 者 的 用 户 名 。 

PR: 进程 的 优先 级 。 

NI: nice 值 ， 负 值 表示 高 优先 级 ， 正 值 表示 低 优 先 级 。 
VIRT: 进程 使 用 的 虚拟 内 存 总 量 ， 单 位 为 KB。 

RES: 进程 使 用 的 物理 内 存 的 大 小 ， 单 位 KB。 

SHR: 共享 内 存 的 大 小 ， 单 位 KB。 

S: 进程 状态 ，D 表示 不 可 中 断 的 休眠 进程 ，R 表示 运行 状态 ，S 表示 休眠 状 
态 ，T 表示 跟踪 /停止 ，Z 表示 僵尸 进程 。 

%CPU: 上 次 更 新 到 现在 的 CPU 占用 时 间 百 分 比 。 
%MEM: 进程 占用 物理 内 存 的 百分比 。 

TIME+: 进程 使 用 的 CPU 时 间 总 和 ， 单 位 为 1/100 秒 。 
COMMAND: 正在 运行 进程 的 命令 名 或 者 命令 路 径 。 


文件 管理 类 


文件 管理 类 命令 主要 用 于 对 Linux 文件 的 操作 和 编辑 。 
1. mkdir 命令 


mkdir 命令 用 来 在 创建 目录 。 其 使 用 格式 为 : 
mkdir [选项 ] 目录 名 
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mkdir 可 使 用 的 选项 如 表 3-16 所 示 。 
表 3-16 mkdir 命令 选项 及 其 含义 


选 项 含义 
对 新 建 的 目录 设置 权限 

可 以 指定 一 个 路 径 名 。 如 果 此 路 径 中 的 某 些 目 录 不 存在 ， 系 统 将 自动 建立 这 些 路 径 中 的 
于 所 有 尚未 建立 的 目录 


使 用 “-p” 选 项 ， 我 们 可 以 实现 一 个 命令 创建 多 个 目录 的 目的 。 例 如 ， 如 果 我 们 要 
在 /usr 目录 下 创建 usrl 目录 ， 并 且 在 usrl 目录 下 再 创建 usr2 目录 。 那 么 可 以 使 用 以 下 
命令 : 


[rooteCentOS /]# mkdir -p /usr/usrl/usr2 


2. more 命令 


more 命令 主要 用 于 文本 显示 ， 当 一 个 文本 文件 的 内 容 过 多 ， 无 法 在 一 个 屏幕 上 完整 
显示 时 ， 就 需要 用 到 more 命令 。more 命令 在 读 取 文 本 文件 时 ， 每 次 只 显示 一 屏 的 内 容 ， 
然后 就 会 暂 定 ， 在 屏幕 的 底部 显示 “More” 即 为 还 有 更 多 的 内 容 。 直 到 用 户 按 下 空格 
键 ， 才 会 继续 显示 下 一 屏 的 内 容 ， 依 此 类 推 。more 命令 的 使 用 格式 为 : 

more [选项 ] 文件 名 


more 命令 的 选项 及 其 具体 含义 如 表 3-17 所 示 。 
表 3-17 more 命令 选项 及 其 含义 


选 项 含义 
-d 在 屏幕 的 底部 显示 帮助 信息 ， 包 括 继续 按 空 格 继续 ， 按 “q” 退 出 等 
-8 将 输出 文件 中 的 多 个 空 行 显示 为 只 有 一 个 空 行 输出 
先 清除 显示 屏幕 以 前 的 信息 ， 再 显示 文本 文件 的 信息 
-c 显示 文件 时 ， 每 屏幕 都 先 清除 屏幕 信息 ， 然 后 再 显示 文本 内 容 


例如 : 如 果 要 用 每 10 行 一 屏 的 形式 显示 “acpid” 文 件 中 的 信息 。 可 以 使 用 以 下 命令 : 


[root@CentOs log]# more -10 acpid 

[Wed Jan 18 23:24:46 2012] starting up 

[Wed Jan 18 23:24:46 2012] 1 rule loaded 

[Wed Jan 18 23:24:48 2012] client connected from 2984[68:68] 
[Wed Jan 18 23:24:48 2012] 1 client rule loaded 

[Wed Jan 18 23:28:18 2012] exiting 

[Wed Jan 18 23:29:36 2012] starting up 

[Wed Jan 18 23:29:36 2012] 1 rule loaded 

[Wed Jan 18 23:29:37 2012] client connected from 5499[68:68] 
[Wed Jan 18 23:29:37 2012] 1 client rule loaded 

[Wed Jan 18 23:58:41 2012] client connected from 5990[0:0] 
—-More-— (8$) 
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3. cat 命令 


cat 命令 用 来 将 文件 中 的 内 容 打印 到 标准 输出 中 ， 其 功能 类 似 于 more 命令 ， 但 不 同 的 
cat 命令 还 可 以 用 户 合并 文件 。 用 户 显示 文件 内 容 时 ， 其 使 用 格式 如 下 : 


cat [选项 ] 文件 名 


用 于 合并 文件 时 ， 其 使 用 格式 为 : 
cat 文件 文件 2.3 文件 3 


cat 命令 可 用 的 选项 及 其 具体 含义 如 表 3-18 所 示 。 
表 3-18 cat 命令 选项 及 其 含义 


外 


将 文件 中 的 Tab 输出 为 “ 气 ”， 同 时 在 每 行 的 末尾 显示 “3$” 符 号 


-A 
-b 将 文件 中 所 有 非 空 行 按 顺序 编号 


下 面 详细 介绍 一 下 cat 用 来 合并 文件 的 功能 的 使 用 方法 。 

我 们 已 经 在 /home 目录 下 创建 了 两 个 文件 testl.txt 和 test2.txt， 现 在 我 们 要 将 这 两 个 文 
件 中 的 内 容 合 并 到 test3.txt 中 并 输出 。 这 一 过 程 使 用 的 命令 及 其 显示 内 容 如 下 所 示 : 

[root@CentOs home]# 1s 

test1. txt test2.txt 

[root@CentOs home]# cat testl .txt 

this is testl.txt file's content. 

[root@CentOs home]# cat test2.txt 

this is test2.txt file's content. 

[root@CentOs home]# cat testl.txt test2.txt >test3.txt 

[root@CentOs home]# 1s 

testl.txt toest2.txt test3.txt 

[root@CentOs home]# cat test3.txt 

this is testl.txt file's content. 

this is test2.txt file's content. 


4. diff 命令 


diff 命令 用 来 比较 文件 的 差异 。 当 使 用 diff 命令 比较 两 个 文件 时 ， 它 将 以 逐 行 比较 的 
方式 显示 两 个 文件 的 异同 。 而 如 果 使 用 di 任命 令 比 较 两 个 目录 ， 那 么 它 会 比较 两 个 目录 中 
所 有 的 同名 文件 ， 但 子 目 录 并 不 会 再 进行 比较 。di 企 命令 的 使 用 格式 为 : 


diff [选项 ] 文件 1 文件 2 
di 任命 令 的 可 用 选项 及 其 具体 含义 如 表 3-19 所 示 。 
表 3-19 diff 命令 选项 及 其 含义 


选 项 含义 
< 显示 全 部 内 容 ， 并 标 出 不 同 之 处 
-b 忽略 行 尾 的 空格 。 同 时 字符 串 中 的 一 个 或 者 多 个 空格 将 视 为 相同 内 容 
I | 当 比 较 两 个 目录 时 可 以 使 用 此 选项 ， 意 为 要 求 比较 其 子 目录 中 的 文件 的 不 同 


-Ss 当 两 个 文件 相同 时 ， 显 示 文件 相同 的 信息 
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例如 ， 我 们 继续 以 上 面 的 testl.txt 和 test2.txt 文件 为 例 ， 比 较 这 两 个 文件 异同 的 命令 
及 显示 内 容 如 下 : 


[root@CentOs home]# diff testl.txt test2 .txt 
Le 
< this is testl.txt file's content. 


> this is test2.txt file's content. 


在 上 面 比较 结果 中 。“1c1” 表 示 比 较 的 是 两 个 文件 的 第 一 行 ， 其 中 “c” 代 表 本 行内 
容 不 同 ， 另 外 ， 还 有 “a” 代 表 “ 文 件 2” 中 附加 了 内 容 ，“d” 代 表 “ 文 件 2” 中 删除 了 
内 容 。 

下 面 的 内 容 为 显示 两 个 文件 中 的 不 同行 的 内 容 ， 其 中 以 “<” 开 始 的 行 是 “文件 1” 
中 的 内 容 ， 以 “>” 开 始 的 行 是 “文件 2” 中 的 内 容 。 

为 了 能 够 表示 的 更 清楚 ， 下 面 我 们 对 testl.txt 和 test2.txt 做 简单 的 修改 ， 再 次 比较 ， 
读者 就 能 看 清 其 中 所 表达 的 含义 了 。 显 示 内 容 如 下 所 示 : 

[root@CentOs home]# cat testl .txt 

this is testl.txt file's content. 

this is the same line. 

this is testl.txt addtion. 

this is testl.txt addtion.this is test2.txt addtion. 

[root@CentOs home]# cat test2.txt 

this is test2.txt file's content. 

this is the same line. 

this is test2.txt addtion. 

[root@CentOs home]# diff testl.txt test2.txt 

lcl 

< this is testl.txt file's content. 

> this is test2.txt file's content. 

< this is testl.txt addtion. 

< this is testl.txt addtion.this is test2.txt addtion. 


> this is test2.txt addtion. 


5. grep 命令 


grep 命令 用 来 过 滤 文 本 中 的 内 容 ， 可 以 根据 指定 的 字符 串 ， 对 文本 文件 中 的 内 容 进行 
搜索 ， 将 含有 指定 字符 串 的 行内 容 显示 出 来 。 其 具体 使 用 格式 为 


grep [选项 ] 字符 串 文件 名 
grep 命令 的 可 用 选项 很 多 ， 这 里 我 们 只 列 出 常用 的 选项 及 其 含义 ， 如 表 3-20 所 示 。 
表 3-20 grep 常用 命令 选项 及 其 含义 
含义 
出 列 列 出 符合 条 件 的 行 外 ， 还 列 出 每 个 符合 条 件 行 的 后 n 行 
只 显示 符合 条 件 的 行 ， 而 不 显示 每 行 的 具体 信息 
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续 表 
含义 
用 户 先 将 搜索 的 样式 写 入 file 文件 中 ， 然 后 根据 这 个 文件 中 的 条 件 进行 搜索 
搜索 时 忽略 大 小 写 
在 显示 的 搜索 结果 上 显示 行 号 
与 “-A” 功 能 相反 ， 列 出 符合 条 件 行 的 前 n 行 


例如 ， 列 出 acpid 文件 中 包含 load 字符 串 的 行 ， 忽 略 大 小 写 ， 并 且 标 识 出 每 行 的 具体 
行 号 ， 其 命令 及 显示 内 容 为 : 
[root@CentOs log]# grep -ni load acpid 
2:[Wed Jan 18 23:24:46 2012] 1 rule loaded 
4: [Wed Jan 18 23:24:48 2012] 1 client rule loaded 
7:[Wed Jan 18 23:29:36 2012] 1 rule loaded 
9: [Wed Jan 18 23:29:37 2012] 1 client rule loaded 
11: [Wed Jan 18 23:58:41 2012] 1 client rule loaded 
14: [Thu Jan 19 00:10:37 2012] 1 client rule loaded 
16: [Thu Jan 19 00:36:06 2012] 1 client rule loaded 
20: [Thu Jan 19 00:36:17 2012] 1 client rule loaded 
1 
a 


23: [Wed Jan 18 17:44:54 2012] rule loaded 
25: [Wed Jan 18 17:44:58 2012] client rule loaded 
27: [Wed Jan 18 17:45:23 2012] client rule loaded 


6. rm 命令 


rm 命令 用 来 删除 文件 或 者 目录 ， 如 果 是 链接 文件 ， 那 么 只 能 断 开 链 接 ， 原 文件 将 保 
持 不 变 。 其 使 用 格式 如 下 : 


rm [选项 ] 文件 或 者 目录 名 
rm 命令 的 可 用 选项 及 其 具体 含义 如 表 3-21 所 示 。 
表 3-21 rm 命令 选项 及 其 含义 


选 项 含义 

有 | 而 除 目录 下 的 全 部 文件 及 其 子 目 录 中 的 全 部 文件 。 如 果 没有 “-r” 选 项， 将 不 删除 目录 
f | 忽略 所 有 提示 和 选择 ， 直 接 删 除 

在 删除 每 个 文件 之 间 询 问 用 户 


如 果 管 理 员 已 经 确认 系统 中 某 个 目录 下 的 全 部 内 容 都 需要 删除 ， 一 般 可 以 使 用 “rm 
-rf” 命 令 来 删除 ， 但 请 读者 注意 ， 在 使 用 rm 命令 时 一 定 要 谨慎 ， 因 为 一 旦 删除 文件 或 者 
目录 ，Linux 系统 将 无 法 恢复 这 些 文件 ， 所 以 ， 在 不 确定 的 情况 下 ， 可 以 使 用 “rm -i” 来 
删除 文件 ， 此 时 系统 每 删除 一 个 文件 都 会 提示 用 户 以 确认 是 否 删除 。 


7. touch 命令 


touch 命令 用 来 改变 指定 文件 的 访问 时 间 和 修改 时 间 ， 如 果 文件 不 存在 ，touch 命令 会 
首先 创建 此 文件 ， 如 果 没 有 指定 时 间 ， 那 么 会 直接 使 用 当前 时 间 。touch 命令 的 使 用 格 
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式 为 : 
touch [选项 ] 设 定时 间 文件 名 
touch 命令 的 可 用 选项 及 其 含义 如 表 3-22 所 示 。 
表 3-22 touch 命令 选项 及 其 含义 
选 项 含义 
-a 改变 文件 的 访问 时 间 为 系统 的 当前 时 间 。 无 需 使 用 “ 设 定时 间 ” 
-nm 改变 文件 的 修改 时 间 为 系统 的 当前 时 间 。 无 需 使 用 “ 设 定时 间 ” 
-c 如 果 文 件 不 存在 ， 不 创建 此 文件 ， 也 不 给 出 提示 
-d 或 者 -t 使 用 指定 的 日 期 时 间 
-T 参考 文件 或 者 目录 把 指定 文件 或 者 目录 的 日 期 设 定 为 参考 文件 或 者 目录 的 时 间 
下 面 ， 我 们 将 以 一 个 修改 文件 时 间 的 小 实例 来 介绍 和 回顾 ls、date 和 touch 命令 的 
用 法 。 
root@CentOs home]# touch test.txt  # 创 建 test.txt 文件 
root@CentOs home]# 1s -1 # 显 示 文件 创建 时 间 
total 28 


-IrW-r--r-- 1 root root 138 Feb 10 12:27 testl.txt 
-IW-r-—-r-— 1 root root 0 Feb 11 11:13 test:txt 


root@CentOs home]# 1s -lu # 显 示 文 件 访问 时 间 

total 28 

-WT--r-— 1 toot root 138 Feb 10 12:28 testl,txt 
-rwW-r--r-- 1 root root 0 Feb 11 11:13 test.txzt 


root@CentOs home]# date # 查 看 系统 当前 时 间 

Sat Feb 11 11:18:18 CST 2012 

root@CentOs home]# touch -a test.txt # 改 变 访问 时 间 为 系统 时 间 
root@CentoOs home]# 1s -lu 


total 28 

-Wr--r-= 1 ro0t root 138 Feb 10 12:28 testl.txt 
上 TOO root 0 Feb 11 11:18 test.txt 
root@CentOs home]# 1s -1 

total 28 

-TW-r--r-— 1 root root 138 Feb 10 12:27 testl.txt 
= 了 WU= 工 = 一 开 = 一 1 了 GOt root 0 Feb 11 11:13 test.txt 


root@CentOs home]# touch -m test.txt  ## 改 变 修改 时 间 为 系统 时 间 
root@CentOs home]# touch -a -Fr testl.txt test.txt # 将 文件 访问 时 间 修 改 为 
testl .txt 的 访问 时 间 

root@CentoOs home]# 1s -lu 


total 28 

-IW-r--r-— 1 root root 138 Feb 10 12:28 testl.txt 

一 于 本 一 下 一 下 一 ,Pot Eo0t 0 Feb 10 12:28 test.txt 

root@Centos home]# touch -d "20120101 12:00" test.txt  # 将 test.tzxt 文件 
的 修改 时 间 设 定 为 指定 的 时 间 

root@CentOs home]# 1s -1 

total 28 

-WT 1 Toot root 138 Feb 10 12:27 testltxt 

= L Poo0k. Yoot 0 Jan 1 12:00 test.txt 

8.In 命令 


In 命令 为 某 一 个 文件 或 者 目录 在 另外 一 个 位 置 建立 一 个 链接 。 当 用 户 需 要 在 不 同 的 目 
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录用 到 相同 的 文件 时 ， 不 需要 在 每 一 个 需要 的 目录 下 都 放 一 个 相同 的 文件 ， 只 要 在 某 个 固 
定 的 目录 放 上 该 文件 ， 然 后 在 其 他 的 目录 下 用 jn 命令 链接 (Link) 它 就 可 以 了 ， 这 样 就 不 必 
重复 地 占用 磁盘 空间 。h 命令 的 使 用 格式 如 下 : 

ln [选项 ] 源 文件 目标 链接 

了 n 命令 可 以 使 用 的 选项 及 其 含义 如 表 3-23 所 示 。 


表 3-23 In 命令 选项 及 其 含义 


选 项 含义 
f 如 果 在 目标 位 置 存在 于 链接 同名 的 文件 ， 则 删除 这 个 文件 
和 进行 软 链接 
a | 允许 系统 管理 员 硬 链接 自己 的 目录 


-b 对 将 在 链接 时 会 被 覆盖 或 者 删除 的 文件 进行 备份 


[名 提示 : 硬 链 接 与 软 链接 : Linux 下 有 两 种 链接 ; 硬 链 接 (Hard Link) 和 软 链接 
(Symbolic Link， 也 称 符号 链接 )。 硬 链接 是 指 通过 文件 的 索引 节点 来 创建 链 
接 。 在 Linux 文件 系统 中 ， 保 存在 磁盘 的 所 有 文件 都 会 分 配 一 个 编号 ， 这 个 
编号 称 为 索引 号 (Inode Index)。 多 个 文件 可 以 指向 同一 个 索引 节点 ， 这 种 多 
文件 指向 同一 个 索引 节点 的 链接 方法 就 叫做 硬 链 接 。 硬 链接 意味 着 允许 一 个 
文件 拥有 多 个 有 效 的 路 径 名 ， 只 要 用 户 修改 了 任何 一 个 路 径 中 的 文件 ， 那 么 
其 他 的 链接 文件 也 就 随 之 更 改 ， 如 果 要 删除 硬 链接 文件 ， 那 么 必须 删除 其 所 
有 链接 ， 此 文件 的 数据 块 才 被 释放 。 而 软 链 接 类 似 于 Windows 中 的 快捷 方 
式 ， 是 一 个 指向 真正 文件 或 者 目录 位 置 的 符号 链接 。 


例如 ， 下 面 的 例子 ， 我 们 首先 在 home 目录 下 创建 linkdir 目录 ， 然 后 在 此 目录 中 创建 
test1.txt 文件 的 硬 链接 。 可 以 看 到 ， 两 个 文件 是 完全 相同 的 。 


root@CentOs home]# mkdir linkdir 

root@CentOs home]# 1s 

linkdir lost+found testl.txt test2.txt test3.txt test.txt 
root@CentOs home]# ln testl.txt /home/linkdir 

root@CentOs home]# 11 /home/testl.txt 

-rwWw-r--r-- 2 root root 138 Feb 10 12:27 /home/testl .txt 
root@CentOs home]# 11 /home/linkdir/test]l .txt 

—rW-r--r-- 2 root root 138 Feb 10 12:27 /home/linkdir/testl.txt 


而 下 面 的 例子 给 出 了 在 linkdir 目录 中 创建 test2.txt 的 软 链接 命令 。 


root@CentoOs home]# ln -s test2.txt /home/linkdir 

root@CentOs home]# 11 /home/linkdir/test2.txt 

lrwxrwxrwx 1 root root 9 Feb 11 12:17 /home/linkdir/test2.txt -> 
test2.txt 


9. file 命令 


file 命令 用 来 显示 文件 的 类 型 。File 命令 能 识别 的 文件 类 型 有 目录 、Shell 脚本 、 英 文 
文本 、 二 进 制 可 执行 文件 、C 语言 源 文 件 、 文 本 文件 、DOS 的 可 执行 文件 。 其 使 用 格式 
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如 下 : 
file [选项 ] 文件 名 
人 le 命令 的 选项 及 其 具体 含义 如 表 3-24 所 示 。 
表 3-24 file 命令 选项 及 其 含义 


选 项 含义 

时 | 显示 文件 类 型 的 结果 ， 不 显示 对 应 文件 名 

党 | 直接 显示 软 链接 所 指向 文件 的 类 型 

志 | 显示 压缩 文件 的 信息 

如 果 文件 不 是 常规 文件 ， 则 不 进一步 对 文件 类 型 进行 分 类 


下 面 的 例子 是 几 种 常见 类 型 文件 的 file 属性 。 


[rooteCcentOS /]# file /etc/init.d/acpid 

/etc/init.d/acpid: Bourne-Again shell script text executable #shell 
脚本 执行 文件 

[root@CentoOs /]# file /bin/sh 

/bin/sh: symbolic link to ‘bash' # 软 链接 文件 

[root@Centos /]# file /home/test.txt 

/home/test.txt: empty # 空 文件 

[root@Centos /]# file /home/testl .txt 


/home/test1l.txt: RSCII English text =#ASCII 文本 文件 
[root@Centos /]# file /dev/sdal 


/dev/sdal: block special (8/1) # 设 备 文件 


10. cp 命令 


cp 命令 是 Linux 下 最 常用 的 复制 命令 ， 用 来 复制 文件 或 者 目录 ， 其 功能 与 Windows 
下 的 copy 命令 非常 类 似 ， 但 功能 更 加 强大 。 其 使 用 格式 为 : 
cp [选项 ] 源 文件 目标 文件 


cp 的 可 用 选项 非常 丰富 ， 表 3-25 只 列 出 了 一 些 常用 的 选项 。 
表 3-25 cp 命令 常用 选项 及 其 含义 


选 项 含义 

-a | 在 复制 目录 时 保留 所 有 信息 ， 包 括 文件 链接 文件 属性 、 并 复制 子 目录 

工 | 递归 的 复制 源 文件 目录 中 的 所 有 子 目录 中 的 文件 。 此 时 目标 文件 也 必须 是 一 个 目录 名 
-d 复制 是 保留 链接 文件 

卫 保留 文件 的 修改 日 期 和 存 取 权限 

-i | 如 果 已 经 有 相同 的 文件 名 的 目标 文件 ， 则 提示 用 户 是 否 履 盖 

-£ 如 果 已 经 有 相同 的 文件 名 的 目标 文件 ， 则 直接 覆盖 此 文件 


例如 ， 将 当前 目录 下 的 所 有 文件 复制 到 /home/linkdir 目录 中 ， 则 可 以 使 用 以 下 命令 : 


[root@CentOs home]# cp -r ./* /home/linkdir 
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11. find 命令 

find 命令 用 来 在 至 项 端的 路 径 下 查找 文件 。 其 使 用 格式 为 : 
find 路 径 [选项 ] 

find 命令 可 用 选项 非常 丰富 ， 具 体内 容 及 含义 如 表 3-26 所 示 。 


表 3-26 find 命令 选项 及 其 含义 


选 项 4 
-name 字符 串 查找 文件 名 符合 字符 串 的 所 有 文件 。 其 中 字符 串 可 以 使 用 通配符 
-Iname 字符 串 查找 文件 名 符合 字符 创 的 所 有 链接 文件 。 其 中 字符 串 可 以 使 用 通配符 
-gidn 查找 属于 ID 号 为 n 的 用 户 组 的 所 有 文件 
-uidn 查找 属于 症 号 为 n 的 用 户 的 所 有 文件 
-empty 查找 空 文件 和 目录 
-path 字符 串 查找 路 径 名 符合 字符 串 的 所 有 文件 。 其 中 字符 串 可 以 使 用 通配符 
-group 用 户 组 名 查找 属于 此 用 户 组 名 的 所 有 文件 
-depth 递归 查找 目录 及 其 子 目 录 中 符合 条 件 的 所 有 文件 
-prune 目录 名 搜索 时 不 搜索 此 目录 名 下 的 文件 。 与 “-depth” 命 令 冲 突 
-size n 查找 文件 长 度 为 n 的 文件 
-user 用 户 名 查找 属于 此 用 户 的 所 有 文件 
-mtime +n 或 者 -n 按时 间 搜 索 “+n” 表 示 n 天 之 前 ，“-n” 代 表 今 天 到 天 前 之 间 的 文件 
.type 文件 类 型 按 指定 文件 类 型 搜索 。 文 件 类 型 包括 b( 块 设备 文件 )、e( 字 符 设备 文件 )、 
信 普 通 文件 )、1( 符 号 文件 )、d( 目 录 )、p( 管 道 )、s(socket 文件 ) 
-print 将 搜索 结果 输出 到 标准 输出 
-exec 命令 上 对 符合 搜索 条 件 的 文件 执行 给 出 的 命令 
-ok 命令 0 对 符合 搜索 条 件 的 文件 执行 给 出 的 命令 ， 但 执行 前 会 询问 用 户 


例如 ， 查 找 在 用 户 userl 的 所 有 普通 文件 中 查找 ， 这 些 文件 是 两 天 以 前 的 ， 并 且 查 找 
时 不 搜索 /usr/bin 目录 ， 文 件 名 为 main.c， 最 后 将 结果 输出 到 屏幕 ， 并 且 删 除 所 有 搜索 到 
的 文件 ， 此 命令 可 以 写成 如 下 格式 : 


[rooteCcentOS home]#find / -path “usr/bin” -prune -o -name “main.c” -user 
userl -type f -mtime +2 -print -exec rm {} \; 


12. split 命令 


split 命令 用 来 将 一 个 大 文件 分 割 为 若干 个 小 文件 。 其 使 用 格式 为 : 
split [选项 ] 待 分 割 文 件 分 割 后 文件 基础 名 


其 中 ，“ 分 割 后 文件 基础 名 ”的 命令 规则 为 : 以 “分 割 后 文件 基础 名 + 序列 长 度 英文 
字母 (默认 以 aa、ab、ac 等 依次 排序 )” 的 形式 逐个 命名 ， 如 果 没 有 指定 “分 割 后 文件 基础 
名 ”， 那 么 将 默认 以 英文 字母 序列 作为 输出 文件 名 。 

split 命令 的 可 用 选项 及 其 含义 如 表 3-27 所 示 。 
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表 3-27 split 命令 选项 及 其 含义 


选 项 含 义 


志 | 指定 分 割 文件 的 大 小 ，size 可 以 带 有 大 小 单位 ， 如 b、KB、MB 等 
加 | 设 定 分 割 文件 的 长 度 ， 缺 省 为 1000 行 

| 将 生成 的 文件 序列 以 数字 形式 表示 

国 指定 split 命令 生成 的 文件 序列 长 度 ， 默 认为 2 


例如 ， 将 busybox 文件 分 割 为 每 个 100K 大 小 的 文件 ， 可 以 使 用 以 下 命名 。 


[root@CentOs home]# 1s -1 
total 2068 
-ITWXLT-XLT-X 1 root root 2090944 Feb 12 22:46 busybox 
drwxr-xr-x 4 root root 4096 Feb 11 17:27 linkdir 

2 root root 16384 Jan 18 23:07 lost+found 
[root@CentOs home]# split -b 100k busybox busybox 
[root@CentOs home]# 1s 
busybox busyboxad busyboxah busyboxal busyboxap busyboxat 
busyboxaa busyboxae busyboxai busyboxam busyboxaq busyboxau 
busyboxab busyboxaf busyboxaj busyboxan busyboxar linkdir 
busyboxac busyboxag busyboxak busyboxao busyboxas lost+found 


13. mv 命令 


mv 命令 用 来 移动 文件 或 者 文件 夹 。 不 仅 如 此 ， 当 mv 的 源 和 目标 同时 为 文件 或 者 目 
录 时 ， 还 可 以 完成 文件 或 者 目录 的 重 命名 功能 。 其 使 用 格式 为 : 
mv [选项 ] 源 文件 目标 文件 


my 命令 的 可 用 选项 及 其 含义 如 表 3-28 所 示 。 
表 3-28 mv 命令 选项 及 其 含义 


例如 下 面 的 例子 ， 我 们 选 创 建 一 个 目录 mvdir 以 及 文件 mvfile， 然 后 将 mvfile 文件 移 
动 到 mvdir 中 ， 再 修改 mvfile 文件 名 为 mvfilel 。 


[root@CentOs home]# mkdir mvdir # 创 建 目录 
[root@CentOs home]# touch mvfile # 创 建文 件 
[root@CentOs home]# 1s 

lost+found mvdir mvfile 

[root@CentOsS home]# mv mvfile mvdir # 将 文件 移动 到 目录 中 
[root@CentOs home]# cd mvdir 

[root@CentOs mvdir]# 1s 

mvfile 

[root@CentOs mvdir]# mv mvfile mvfilel  ## 修 改 文件 名 
[rootecentOS mvdir]# 1s 

mvfilel 
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3.2.3 压缩 类 

不 管 是 为 了 存档 ， 还 是 为 了 节约 空间 ， 对 于 系统 管理 员 来 说 ， 压 缩 文 件 是 经 常 要 用 到 
的 功能 。 与 Windows 相 比 ，Linux 提供 了 更 加 丰富 的 压缩 和 解压 缩 命令 和 功能 。 

1. zip/unzip 命令 


zip 是 最 著名 和 拥有 优秀 压缩 算法 的 压缩 程序 ， 在 Windows 中 应 用 广泛 ， 在 Linux 也 
同样 可 以 使 用 。zip 命令 可 以 将 文件 或 者 目录 进行 压缩 ， 生 成 以 “.zip” 为 后 缀 的 压缩 包 。 
其 具体 的 使 用 格式 如 下 : 


zip [选项 ] 压缩 文件 名 待 压 缩 文件 列表 
unzip [选项 ] 压缩 文件 名 


zip 命令 可 用 选项 及 其 含义 如 表 3-29 所 示 。 
表 3-29 zip 命令 选项 及 其 含义 


选 项 含义 

工 E 缩 指定 目录 及 其 子 目录 的 全 部 文件 

-d 从 压缩 文件 内 删除 文件 

-I 文件 列表 只 压缩 文件 列表 中 的 文件 

-x 文件 列表 压缩 时 不 压缩 文件 列表 中 的 文件 

已 更 新 文件 到 压缩 文件 中 

-m 将 文件 移动 到 压缩 文件 中 
修复 损坏 的 压缩 文件 

- 检测 压缩 文件 的 完好 性 

用 指定 的 数字 设置 压缩 比 ，1 为 最 低压 缩 比 ， 但 速度 最 快 ，9 为 最 高 压缩 比 ， 但 
速度 最 慢 ; 系统 默认 压缩 比 为 6 


unzip 命令 可 用 选项 及 其 含义 如 表 3-30 所 示 。 
表 3-30 ”unzip 命令 选项 及 其 含义 


选 项 含义 

x 文件 列表 不 解压 文件 列表 中 的 文件 

+ | 测试 压缩 文件 的 完好 性 

区 | 查看 压缩 文件 的 详细 信息 ， 包 括 压 缩 文件 中 的 文件 大 小 、 压 缩 比 等 信息 
| 解压 时 不 覆盖 已 存在 的 文件 

攻 解压 时 禾 盖 已 存在 的 文件 ， 且 不 提示 

d 目录 名 了 解压 文件 到 指定 的 目录 中 


下 面 的 例子 给 出 了 压缩 文件 、 解 压 文件 ， 删 除 压缩 文件 中 内 容 的 具体 操作 方法 。 


[root@CentoOs /]# zip -9r /var/log/lo0g.zip /var/log # 压 缩 文 件 ， 使 用 最 高 压 
缩 比 ， 保 存 为 1og.zip 
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adding: var/log/ (stored 0%) 

adding: var/log/rpmpkgs (deflated 71%) 
adding: var/log/rpmpkgs.3 (deflated 71%) 
adding: var/log/cron (deflated 83%) 
adding: var/log/messages.1 (deflated 79%) 


[root@CentOs /]# zip /var/1l0g/10g.zip -d var/1og/rpmpkgs.3 # 删 除 压 缩 包 中 
的 rpmpkgs .3 文件 。 
deleting: var/log/rpmpkgs.3 
[root@Centos /]# unzip -n /var/1log/log.zip -d /var/log # 解 压 文件 到 指定 
目录 ， 并 且 不 覆盖 原 有 文件 。 
Archive: /var/1og/1og.zip 

creating: /Var/1og/var/1og/ 

inflating: /var/log/var/log/rpmpkgs 

inflating: /Var/1og/var/1og/cron 

inflating: /var/log/var/log/messages.1 

inflating: /var/log/var/log/cron.3 


2. gzip 命令 


gzip 命令 可 以 对 文件 进行 压缩 和 解压 缩 ， 压 缩 文 件 扩展 名 为 “.gz”。 与 zip 不 同 的 
gzip 只 能 压缩 文件 ， 不 能 压缩 目录 。 其 使 用 格式 为 : 


gzip [选项 ] 压缩 (解压 缩 ) 文件 名 
gzip 命令 的 选项 及 其 含义 如 表 3-31 所 示 。 
表 3-31 gzip 命令 选项 及 其 含义 


加 


选 项 含义 
-d 解压 缩 文件 
- 压缩 指定 目录 及 其 子 目 录 中 的 所 有 文件 
-t 检查 压缩 文件 的 完整 性 
wv 对 每 个 压缩 和 解压 缩 文件 ， 显 示 其 文件 名 和 压缩 比 
显示 压缩 文件 的 信息 ， 包 括 压缩 文件 的 大 小 ， 未 压缩 文档 的 大 小 ， 压 缩 比 一 级 未 压缩 
文档 的 名 称 等 
-(1-9) 用 指定 的 数字 设置 压缩 比 ， 与 zip 命令 相同 
3. bzip2 命令 


bzip2 的 功能 与 gzip 非常 类 似 ， 智 能 对 文件 进行 压缩 ， 生 成 以 “.bz2” 为 后 缀 的 压缩 
文件 ， 而 在 压缩 后 的 文件 中 不 能 带 有 目录 。bzip2 的 使 用 格式 如 下 : 

bzip2 [选项 ] 待 压缩 或 者 解压 缩 文 件 

bzip2 命令 的 选项 及 其 含义 如 表 3-32 所 示 。 


普 注意 : ”与 gzip 不 同 ，bzip2 压缩 文件 以 及 解压 缩 文 件 后 ， 会 将 源 文件 删除 。 
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表 3-32 ”bzip2 命令 选项 及 其 含义 


选 项 含义 
a | 执行 解压 缩 
志 | 压缩 或 者 解压 缩 文件 时 ， 显 示 详 细 信 息 
这 | 压缩 或 者 解压 缩 文件 后 ， 保 留 原始 文件 
f 遇 到 已 有 文件 时 ， 直 接 复 盖 ， 而 不 提示 
二 测试 压缩 文件 的 完整 性 
(1-9) 用 指定 的 数字 设置 压缩 比 ， 与 zip 命令 含义 相同 
4.tar 命令 


tar 命令 是 Linux 中 经 常用 到 的 文档 备份 工具 ， 它 的 功能 是 对 文件 和 目录 进行 打包 归 
档 ， 形 成 一 个 文件 ， 但 并 不 进行 压缩 。 其 使 用 的 具体 格式 为 : 

tar [ 主 选 项 + 辅助 选项 ] 文件 或 者 目录 

tar 命令 可 用 的 选项 很 多 ， 又 可 以 分 为 主 选项 和 辅助 选项 ， 经 常用 到 的 主 选项 如 表 3-33 
所 示 。 


表 3-33 tar 命令 主 选项 及 其 含义 


选 项 含 义 

-c 创建 新 的 文件 

工 将 文件 添加 到 tar 文件 的 末尾 

-t 列 出 tar 文件 中 的 文件 列表 

-x 从 tar 文 件 中 还 原文 件 

-u 更 新 tar 文件 ， 用 新 的 文件 替换 tar 文件 中 的 同名 文件 
tar 命令 常用 的 辅助 选项 及 其 含义 如 表 3-34 所 示 。 


表 3-34 tar 命令 辅助 选项 及 其 含义 


选 项 含义 
-z 调用 gzip 命令 对 归档 文件 进行 压缩 或 者 解压 缩 
-Ww 在 还 原文 件 时 ， 将 所 有 文件 的 修改 日 期 改 为 现在 时 间 


- 调用 bzip2 命令 对 归档 文件 进行 压缩 或 者 解压 缩 
指定 tar 文件 存储 的 设备 类 型 ， 默 认 是 磁盘 ， 需 要 指定 档案 文件 名 ; 如 果 是 磁 


f 带 ， 那 么 需要 指定 磁带 设备 名 。 这 里 读者 必须 注意 ，“-f” 必 须 为 tar 命令 的 最 
后 一 个 选项 ， 也 就 是 说 ，“-f” 后 不 能 再 有 任何 其 他 选项 

- 在 创建 tar 文件 的 过 程 中 ， 显 示 文 档 的 名 称 

Pp 在 创建 tar 文件 的 过 程 中 ， 保 持 所 有 文件 属性 不 发 生 改变 


-N “yyyy/mnydd” | 只 将 给 出 日 期 时 间 之 后 的 文件 放 入 tar 文档 中 
--exclude file 不 讲 指定 文件 放 入 tar 文档 中 
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f# 细 


例如 ， 我 们 要 对 /varlog 目录 下 的 所 有 文件 进行 打包 并 且 压缩 ， 还 要 显示 打包 的 这 
信息 ， 可 以 使 用 以 下 两 个 命令 中 的 一 个 : 


[root@CentOs /]# tar -zcvf /home/varlog.tar.gz /var/1og # 使 用 gzip 命令 压 


[root@CentOs /]# tar -jcvf /home/varlog.tar.bz2 /var/1og 间 使 用 bzip2 命 
压缩 


从 上 面 的 两 条 命令 我 们 可 以 看 出 ， 使 用 tar 命令 生成 的 打包 文件 对 文件 名 的 后 组 并 没 
有 要 求 ， 用 户 可 以 自由 的 命名 。 但 在 实际 的 使 用 中 ， 为 了 便于 辨识 和 传播 ， 在 命名 时 还 是 


有 一 些 习 惯性 的 规则 ， 这 些 规则 已 经 被 广泛 使 用 并 且 达 成 了 共识 ， 推 荐 读者 在 使 用 tar 
令 对 程序 或 者 文档 进行 打包 压缩 时 也 遵循 这 些 规则 。 
e@ ”规则 一 :所 有 使 用 tar 命令 打包 的 文件 应 该 以 “.tar” 为 文件 的 后 缀 。 


命 


e@ ”规则 二 : 如 果 在 打包 的 过 程 中 使 用 了 gzip 命令 进行 压缩 ， 那 么 应 该 将 后 组 命名 


pe de: 

e@ ”规则 三 :如 果 在 打包 过 程 中 使 用 了 bzip2 命令 进行 压缩 ， 那 么 应 该 将 后 缀 命名 为 
“tar.bz2”。 

5. dd 命令 


dd 命令 可 以 用 来 转换 或 者 复制 文件 ， 同 时 也 可 以 对 设备 进行 备份 。 其 使 用 格式 为 : 
qq if=" 输 入 文件 名 ”of=" 输 出 文件 名 "bs=" 每 块 大 小 ”count=" 块 数量 " 
dd 命令 各 选项 的 具体 含义 如 表 3-35 所 示 。 


表 3-35 dd 命令 选项 及 其 含义 


参 数 含义 
让 输入 文件 名 ， 可 以 是 设备 ， 例 如 磁盘 的 某 个 分 区 
of 输出 文件 名 ， 可 以 是 磁盘 或 者 磁带 等 
bs 指定 的 块 的 大 小 ， 默 认为 512bytes 
count 生成 的 块 的 数量 


例如 ， 我 们 将 /etwinittab 被 分 到 /opt/inittab.bak 文件 中 ， 可 以 使 用 以 下 的 命令 : 


root@CentOs ~]# dd if=/etc/inittab of=/opt/inittab.bak 
3+1 records in 

3+1 records out 

1666 bytes (1.7 kB) copied, 0.0180618 seconds, 92.2 kB/s 
root@CentOs ~]# 1s -al /etc/inittab /opt/inittab.bak 
-rw-r--r-- 1 root root 1666 Jan 18 23:22 /etc/inittab 
-rwWw-r--r-— 1 root root 1666 Feb 15 13:57 /opt/inittab.bak 


从 上 面 的 实例 我 们 可 以 看 出 ， 源 文件 和 备份 文件 没有 任何 差异 。dd 命令 除了 可 以 进 


行 常规 的 文件 备份 外 ， 还 可 以 备份 磁盘 分 区 。 例 如 下 面 的 实例 ， 我 们 将 sdal 分 区 被 分 到 


/opt 目录 中 。 


root@CentOs ~]# dd if=/dev/sdal of=/opt/sdal.bak 


第 3 章 Linux 常用 配置 命令 79 


逮 注意 : 在 备份 磁盘 分 区 时 ， 一 定 要 注意 输出 路 径 “of” 不 能 处 于 备份 的 磁盘 分 区 
中 ， 和 否则 将 造成 死 循环 ， 永 远 无 法 备份 完成 。 而 且 在 恢复 磁盘 备份 时 ， 最 好 
保证 恢复 目标 分 区 与 备份 分 区 大 小 相同 ， 否 则 ， 如 果 目 标 分 区 大 于 备份 分 
区 ， 则 会 造成 多 余 的 空间 无 法 利用 ; 而 如 果 目 标 分 区 小 于 备份 分 区 ， 会 提示 
磁盘 空间 不 足 。 
6. cpio 命令 


cpio 命令 可 以 通过 重 定向 的 方式 将 文件 进行 备份 和 还 原 。 它 可 以 解压 以 “.cpio” 或 者 
“.tar” 为 后 级 的 文件 。 其 使 用 格式 为 : 
cpio [选项 ] < (或 者 >) 文件 或 者 设备 名 
cpio 可 用 的 选项 及 其 含义 如 表 3-36 所 示 。 
表 3-36 cpio 命令 选项 及 其 含义 
选 项 含义 
-0 将 文件 打包 或 者 输出 到 指定 的 设备 上 
-i 将 打包 文件 解压 或 者 将 设备 上 的 备份 还 原 到 系统 中 
t 查看 cpio 打包 的 文件 内 容 或 者 输出 到 设备 上 的 文件 内 容 
~V 显示 打包 过 程 的 文件 名 
-d 在 cpio 还 原文 件 的 过 程 中 ， 自 动 建立 对 应 的 目录 
c 使 用 一 种 较 新 的 存储 方式 
-B 将 默认 备份 块 设置 为 5120bytes， 而 不 是 默认 的 512bytes 


cpio 命令 还 有 一 个 特点 ， 所 有 的 备份 文件 必须 指定 出 完整 的 路 径 以 及 文件 名 ， 而 无 法 
自动 搜索 或 者 备份 某 目 录 下 的 全 部 文件 ， 所 以 ， 在 实际 的 使 用 过 程 中 ，cpio 命令 经 常 与 
find 命令 一 起 使 用 ， 例 如 下 面 的 例子 。 


[root@CentOs ~]# find /etc -type f | cpio -ccvB >/home/etc.cpio 


3.2.4 ”磁盘 管理 类 


Linux 中 的 磁盘 管理 类 命令 的 主要 功能 是 查看 磁盘 空间 的 使 用 情况 ， 磁 盘问 题 的 修复 
以 及 磁盘 和 内 存 的 存储 控制 等 。 


1. df 命令 


df 命令 用 来 查看 磁盘 空间 占用 情况 ， 其 使 用 格式 如 下 : 
df [选项 ] 


df 命令 可 用 的 选项 及 其 含义 如 表 3-37 所 示 。 
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表 3-37 df 命令 选项 及 其 含义 
含义 


以 更 人 性 化 的 显示 方式 输出 文件 分 区 空间 的 使 用 情况 


以 kB 为 单位 输出 文件 系统 分 区 占用 情况 


以 MB 为 单位 输出 文件 系统 分 区 占用 情况 


列 出 所 有 文件 系统 的 分 区 ， 包 括 0 大 小 的 文件 系统 分 区 
列 出 文件 系统 分 区 的 innodes 信息 


显示 磁盘 分 区 的 文件 系统 类 型 
例如 ， 我 们 经 常会 查看 当前 系统 分 区 的 使 用 情况 ， 下 面 就 是 以 更 加 人 性 化 的 形式 显示 


系统 磁盘 空间 和 文件 系统 类 型 的 命令 。 


[rootecentOS ~]# df -hT 
Filesystem Type Size Used Avail Uses Mounted on 
/dev/mapper/VolGroup00-LogRoot 

ext3 16G 3.8G 11G 26% / 
/dev/mapper/VolGroup00-Home 

ext3 1.9G 35M 1.8G 2% /home 
/dev/sdal ext3 99M 12M 82M 13% /boot 
tmpfs tmpfs 506M 0 506M 0% /dev/shm 


2. du 命令 


du 命令 用 来 显示 文件 或 者 目录 占用 的 磁盘 空间 的 情况 ， 使 用 格式 如 下 : 
du [选项 ] 文件 或 者 目录 


du 命令 可 用 的 选项 及 其 具体 含义 如 表 3-38 所 示 。 
表 3-38 du 命令 选项 及 其 含义 
选 项 含义 


显示 文件 或 者 目录 的 大 小 ， 单 位 为 KB 


显示 文件 或 者 目录 的 大 小 ， 单 位 为 byte 


以 更 人 性 化 的 方式 显示 文件 或 者 目录 的 大 小 


显示 文件 或 者 目录 的 大 小 ， 单 位 为 MB 
下 面 的 实例 给 出 了 使 用 du 命令 查看 文件 大 小 的 样式 。 


[root@CentoOs usr]# du -sh ./* 


170M ./bin 

8.0K "ete 
8.0K -./games 
1.2M -/include 
1.9M ./kerberos 
1.6G ./lib 

23M ./libexec 
248K /local 
34M -/sbin 


1.6G -/Share 


多 I 
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24K src 
4.0K - /tmp 
24K -/X11R6 
3. fsck 命令 


fsck 命令 用 来 检查 并 且 修 复 文件 系统 中 的 错误 ， 使 用 格式 如 下 : 
fsck [选项 ] [设备 名 ] 
fsck 命令 的 可 用 选项 及 其 具体 含义 如 表 3-39 所 示 。 
表 3-39 ”fsck 命令 选项 及 其 含义 

选 项 含义 
自动 修复 文件 系统 问题 ， 没 有 提示 
采用 互动 的 修复 方式 
使 用 /etc/fstab 配置 文件 中 的 内 容 ， 检 查 文件 内 所 列 出 的 所 有 文件 系统 
执行 fsck 命令 时 ， 不 提示 标题 信息 
显示 fsck 命令 的 执行 过 程 
不 执行 命令 ， 只 列 出 实际 执行 会 进行 的 操作 


- 文件 系统 类 型 指出 要 检查 的 文件 系统 的 具体 类 型 


下 面 的 实例 给 出 了 : 


[root@CentOs ~]# fsck -srV -t ext3 /dev/sdal 

fsck 1.39 (29-May-2006) 

[/sbin/fsck.ext3 (1) -- /boot] fsck.ext3 -r /dev/sdal 
e2fsck 1.39 (29-May-2006) 

/boot: clean, 35/26104 files, 15577/104388 blocks 


特别 需要 注意 的 是 ， 在 使 用 fsck 命令 修复 某 个 文件 系统 之 前 ， 一 定 要 确认 此 文件 系 


统 处 于 卸载 状态 ， 因 为 磁盘 分 区 在 挂 载 状态 进行 修复 是 极其 不 安全 的 ， 其 中 的 数据 很 有 可 


能 会 


遭 到 破坏 ， 更 甚 者 甚至 损坏 整个 磁盘 。 如 果 在 挂 载 状态 监测 某 个 磁盘 时 ， 会 给 出 以 下 


的 提示 : 


[root@CentoOs ~]# fsck /dev/mapper/VolGroup00-LogRoot 
fsck 1.39 (29-May-2006) 

e2fsck 1.39 (29-May-2006) 
/dev/mapper/VolGroup00-LogRoot is mounted. 


WARNING!!! Running e2fsck on a mounted filesystem may cause 
SEVERE filesystem damage. 


Do you really want to continue (y/n)? 


如 果 由 于 操作 不 当 导致 使 用 fsck 命令 修复 的 过 程 中 有 文件 丢失 ， 可 以 到 对 应 的 


“losttfound” 目 录 中 寻找 ， 此 时 ， 通 过 文件 名 往往 已 经 无 法 分 辨 文件 ， 管 理 员 可 以 使 用 
file 命令 来 查看 文件 系统 的 类 型 ， 从 而 判断 哪些 是 我 们 需要 的 文件 。 


4. sync 命令 
sync 命令 用 来 将 内 存 中 的 数据 写 如 入 硬盘 。 在 Linux 系统 中 ， 对 系统 的 修改 等 操作 并 
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不 会 立刻 写 入 硬盘 中 ， 而 是 先 缓存 在 内 存 中 ， 等 到 适当 的 时 候 再 写 入 硬盘 ， 这 样 主要 是 为 
了 提高 操作 系统 的 运行 效率 。Linux 系统 默认 情况 下 每 3 秒 自动 运行 一 次 sync 操作 ， 系 统 
关机 时 也 会 执行 sync 命令 ， 如 果 非 正常 关机 ， 系 统 内 存 中 的 数据 来 不 及 写 入 硬盘 ， 从 而 
造成 数据 的 丢失 或 者 文件 的 损坏 。sync 命令 的 使 用 非常 简单 ， 不 需要 参数 ， 格 式 如 下 : 

sync 

5. eject 命令 

eject 命令 可 以 退出 各 种 临时 设备 ， 例 如 光驱 或 者 磁带 。 如 果 该 设备 已 经 挂 载 ， 则 
eject 首先 卸载 设备 ， 然 后 再 退出 设备 。 其 使 用 格式 如 下 : 

eject [选项 ] 设备 名 

eject 命令 可 用 的 选项 及 其 含义 如 表 3-40 所 示 。 


表 3-40 eject 命令 选项 及 其 含义 


选 项 含义 
-c 光驱 编号 退出 光驱 ， 如 果 系 统 中 有 多 个 光驱 ， 需 要 指定 光驱 编号 
-d 或 者 一 default 显示 默认 的 设备 ， 而 不 是 实际 执行 操作 
二 或 者 --floppy 退出 软盘 
-q 或 者 --tape 退出 磁带 设备 
工 或 者 --cdrom 退出 光盘 
-t 或 者 --trayclose 关闭 光驱 的 托盘 
-n 或 者 -noop 显示 指定 的 设备 名 对 应 的 设备 文件 路 径 ， 默 认为 显示 光驱 的 文件 路 径 


例如 ， 要 显示 光驱 的 文件 路 径 ， 可 以 使 用 以 下 的 命令 。 
[rootQe@CentOS ~]# eject -n cdrom 


eject: device is '/dev/hda' 


6. mount/umount 命令 


mount 和 umount 命令 是 Linux 下 挂 载 设备 的 常用 命令 ， 例 如 光驱 、Windows 文件 格 
式 的 磁盘 等 。mount 的 优势 在 于 支持 多 种 文件 系统 类 型 ， 而 且 mount 还 能 自动 检测 需要 挂 
载 的 文件 系统 类 型 。 其 使 用 格式 为 : 


mount [选项 ] [-t 文件 类 型 ] [-o options] device dir 
umount dir 


mount 命令 的 常用 选项 及 其 含义 如 表 3-41 所 示 。 
表 3-41 mount 命令 选项 及 其 含义 
选 项 含义 
机 | 加 载 文件 /etv/fstab 中 的 所 有 设备 


-nn | 不 将 加 载 信息 记录 在 /etc/fstab 文件 中 
工 以 只 读 方式 加 载 设备 
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续 表 
选 项 含义 
i | mount 的 默认 设置 ， 以 可 写 方式 加 载 设备 
-或 -v 查看 mount 的 挂 载 状态 


在 命令 格式 中 “-t 文件 类 型 ”中 可 以 指定 所 要 加 载 设备 的 文件 类 型 。 常 用 的 文件 类 
型 有 : 


光盘 或 光盘 镜像 ，iso9660。 

DOS fat16 文件 系统 : msdos。 

Windows 9x fat32 文件 系统 : vfat。 

Windows NT ntfs 文件 系统 : ntfs。 

Mount Windows 文件 网 络 共享 : smbfs。 

UNIX(LINUX) 文件 网 络 共享 : nfs。 

Linux 常用 的 文件 系统 : ext3/ext2。 

而 “-o options” 则 主要 用 来 描述 设备 的 挂 载 方式 ， 常 用 的 参数 如 表 3-42 所 示 。 


表 3-42 -0 选项 常用 参数 及 其 含义 


参 数 含义 
loop 用 来 把 一 个 文件 当成 硬盘 分 区 挂 接 到 系统 中 
ro 采用 只 读 方 式 挂 接 设备 
Iw 采用 读 写 方式 挂 接 设 备 
iocharset 指定 访问 文件 系统 所 用 字符 集 
remount 重新 加 载 设备 ， 通 常用 于 改变 设备 的 设置 状态 
Sync 以 同步 的 方式 执行 文件 系统 的 输入 输出 操作 
User 可 以 让 一 般 用 户 加 载 设备 
default 使 用 默认 设置 加 载 设 备 


“device” 指 挂 载 的 设备 名 ， 例 如 /dev/sdal、/dev/hdal 等 。 

“dir” 指 挂 载 到 的 位 置 ， 即 挂 载 点 ， 通 常 为 Linux 下 的 某 个 目录 。 

mount 的 另 一 个 优势 是 能 够 直接 挂 载 光盘 镜像 ， 以 实现 类 似 光 驱 读 取 光 盘 的 形式 使 用 
光盘 镜像 文件 ， 例 如 下 面 的 命令 : 


[root@CentOs ~]# mount -t is09660 -o loop /iso/Cent5.5,iso /ixdba 


此 命令 中 ，“loop” 即 指 将 光盘 镜像 文件 Cent5.5.iso 作为 硬盘 分 区 挂 载 到 系统 中 ， 
“/ixdba” 为 挂 载 点 ， 挂 载 成 功 后 ， 就 可 以 通过 访问 /ixdba 目录 来 访问 镜像 文件 中 的 内 
容 了 。 

又 如 ， 我 们 可 以 将 Windows 操作 系统 中 的 硬盘 分 区 挂 载 到 Linux 系统 中 进行 使 用 ， 
如 下 面 的 命令 所 示 : 


[rooteCcentOS ~]# mount -t vfat -o codepage=936, iocharest=cp936 /dev/hda3 
/mnt/d 
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从 上 面 的 命令 我 们 可 以 看 出 ， 首 先 需 要 指明 挂 载 的 分 区 格式 为 vfat( 即 FAT 格式 )， 而 
“-0” 后 的 选项 则 是 指明 此 挂 载 分 区 需要 支持 中 文 显示 ; “/dev/hda3” 为 Windows 分 区 在 
Linux 下 的 硬件 标识 ; “/mnt/d” 为 挂 载 点 。 

另外 ，mount 命令 还 可 以 挂 载 其 他 Linux 系统 在 网 络 中 共享 的 分 区 ， 如 下 面 的 命令 
所 示 : 


[root@CentOs ~]# mount -t nfs -~o ro 192.168.1.2:/home/ mnt/nfs 
在 此 命令 中 ， 挂 载 的 文件 系统 为 nfs( 即 Linux 文件 网 络 共享 ); “-o ro” 指 明 以 只 读 的 
方式 挂 载 ，192.168.1.2:/home/ 即 网 络 共享 的 位 置 ，“mnt/nfs” 为 挂 载 点 。 
3.2.5 网 络 配置 类 
网 络 配置 类 命令 主要 用 于 对 Linux 操作 系统 网 络 的 设置 及 维护 。 
1. ifconfig 命令 


ifconfig 命令 用 来 配置 网 络 或 者 显示 当前 网 络 接口 的 状态 。 其 使 用 格式 为 : 
ifconfig [选项 ] [网 络 接口 ] [指定 操作 ] 


ifconfig 命令 的 可 用 选项 及 其 含义 如 表 3-43 所 示 。 
表 3-43 ifconfig 命令 选项 及 其 含义 


含 义 
显示 所 有 网 络 接口 的 信息 
仅 显 示 接 口 的 摘要 状态 
如 果 发 现 某 网 络 接口 出 现 错误 ， 则 返回 错误 信息 ， 主 要 用 户 网 络 故障 的 诊断 


命令 格式 中 的 “网 络 接口 ” 指 Linux 下 的 网 络 接口 名 ， 通 常 以 “eth0”、“lo” 等 形 
式 表示 ， 此 选项 可 以 不 写 ， 将 显示 所 有 网 络 设备 的 信息 。 

命令 格式 中 的 “指定 操作 ”可 以 给 出 需要 对 网 络 接口 进行 的 操作 ， 可 用 操作 包括 以 下 
几 种 : 


up: 激活 网 络 接口 。 

down: 与 up 相反， 关闭 某 网 络 接口 。 

netmask: 为 一 个 指定 的 网 络 接口 设置 子 网 掩 码 。 
addr: 为 网 络 接口 设置 P 地 址 。 

broadcast: 为 指定 的 网 络 接口 设置 广播 地 址 。 

下 面 的 例子 给 出 了 显示 所 有 网 络 接口 的 命令 及 其 显示 内 容 。 


[rooteCentOS ~]# ifconfig 
eth0 Link encap:Ethernet HWaddr 00:0C:29:02:50:58 
inet addr:192.168.1.102 Bcast:255.255.255.255 
Masks2535.255.255.0 
inet6 addr: fe80::20c:29ff:fe02:5058/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:595 errors:0 dropped:0 overruns:0 frame:0 
TX packets:441 errors:0 dropped:0 overruns:0 carrier:0 
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collisions:0 txqueuelen:1000 
RX bytes:728153 (711.0 KiB) TX bytes:34271 (33.4 KiB) 
Interrupt:67 Base address:0x2024 


lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:37 errors:0 dropped:0 overruns:0 frame:0 
TX packets:37 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:6066 (5.9 KiB) TX bytes:6066 (5.9 KiB) 


从 上 面 的 显示 内 容 我 们 可 以 看 出 ， 使 用 ifconfig 命令 可 以 查看 网 卡 的 MAC 地 址 信 
、 了 P 地 址 信息 、 子 网 掩 码 、 传 输 字 节 等 。 另 外 ，“lo 网 卡 ”是 指 回环 网 卡 。 
如 果 要 设置 网 卡 的 他 地址 ， 可 以 使 用 以 下 的 命令 : 


[root@CentOs ~]# ifconfig eth0 192.168.2.102 netmask 255.255.255.0 #i 设 置 


第 1 个 IP 地 址 
[root@CentOs ~]# ifconfig eth0:0 192.168.3.102 netmask 255.255.255.0 # 


设置 第 2 个 IP 地 址 

从 上 面 的 例子 我 们 可 以 看 出 ， 如 果 要 给 同一 块 网 卡 设置 多 个 全 地 址 ， 可 以 使 用 
eth0:0、eth0:1 的 书写 方法 。 

使 用 ipconfig 命令 启用 和 关闭 网 卡 的 命令 如 下 : 


[root@CentOs ~]# ifconfig eth0 up 
[root@CentOs ~]# ifconfig eth0 down 


值得 注意 的 是 ， 使 用 ipconfig 命令 配置 的 网 卡 信息 ， 在 网 卡 重启 或 者 系统 重启 后 ， 所 


有 的 配置 都 会 失效 ， 如 果 需 要 使 配置 信息 永久 生效 ， 需 要 修改 网 卡 的 配置 文件 。 修 改 网 卡 
配置 文件 的 方法 我 们 将 在 下 节 中 介绍 。 


2. scp 命令 


scp 命令 主要 用 户 在 Linux 网 络 中 传输 文件 或 者 目录 ， 其 特点 在 于 scp 数据 是 使 用 
SSH 协议 传输 的 ， 保 证 了 数据 传输 的 安全 性 。 这 也 正 是 scp(secure copy) 命 令 的 由 来 。scp 
命令 的 使 用 格式 如 下 : 

scp [选项 ] 本 地 Linux 系统 文件 路 径 远程 用 户 名 eip 地 址 :远程 文件 绝对 路 径 


上 面 的 格式 是 将 本 地 文件 传输 到 远程 Linux 系统 中 的 命令 格式 ， 如 果 希 望 从 远程 计算 
机 中 复制 文件 ， 只 需要 将 目标 地 址 和 源 地 址 交换 位 置 即 可 。 
scp 命令 可 用 的 选项 及 其 具体 含义 如 表 3-44 所 示 。 


表 3-44 scp 命令 选项 及 其 含义 


证 


- 尽 可 能 将 档案 状态 、 权 限 等 资料 都 照 原状 予以 复制 
工 若 source 中 含有 目录 名 ， 则 将 目录 下 之 档案 亦 皆 依 序 复制 至 目的 地 


+f 车 目的 地 已 经 有 相同 档 名 的 档案 存在 ， 则 在 复制 前 先 予 以 删除 再 行 复制 
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如 果 要 将 本 地 的 文件 复制 到 远程 计算 机 中 ， 可 以 使 用 如 下 格式 的 命令 : 


[rooteCcentOS ~]# scp /home/daisy/full.tar.gz root@172.19.2.75:/home/root 


然后 会 提示 用 户 输 入 远程 计算 机 172.19.2.75 主机 的 root 用 户 的 登录 密码 ， 接 着 就 开 


始 复制 数据 。 


如 果 想 反 过 来 操作 ， 把 文件 从 远程 主机 复制 到 当前 系统 ， 也 很 简单 。 只 需要 将 源 和 目 
标的 位 置 对 换 即 可 。 如 下 面 的 命令 所 示 : 


[root@CentoOs ~]#scp root@/full.tar.gz 172.19.2.75:/home/root/full.tar.gz 
home/daisy/full.tar.gz 


3. netstat 命令 
netstat 命令 用 来 显示 本 机 的 网 络 状 态 信息 。 其 使 用 格式 如 下 : 


netstat 


选项 ] 


netstat 命令 的 可 用 选项 及 其 含义 如 表 3-45 所 示 。 


-c 秒 数 


表 3-45 netstat 命令 选项 及 其 含义 


二 
显示 本 机 所 有 连接 和 监听 端口 
以 IP 地 址 的 形式 显示 当前 建立 的 网 络 连接 和 端口 
显示 路 由 表 信 息 
显示 按 协议 的 统计 信息 。 默 认 的 统计 协议 有 : 也、ICMP、TCP、UDP 的 统计 信息 
显示 当前 的 有 效 连接 
显示 所 有 TCP 连接 信息 
显示 所 有 UDP 连接 信息 
设置 刷新 信息 的 时 间 
显示 自动 配置 接口 的 状态 
仅 显示 处 于 监听 状态 的 网 络 接口 


了 了 显示 连接 对 应 的 PID 与 程序 名 
例如 ， 显 示 当 前 系统 所 有 连接 状态 的 命令 及 显示 内 容 如 下 : 


[root@CentOs ~]# netstat -a 
Active Internet connections (servers and established) 


Proto Recv-Q Send-Q Local Address Foreign Address 

State 

tcp 0 0 CentOs:2208 入 区 LISTEN 
tcp 0 0 *:935 和 LISTEN 
tcp 0 0 *:sunrpc 人 LISTEN 
tcp 0 0 *sx11 入 LISTEN 
tcp 0 0 Centos:ipp 入 LISTEN 
udp 0 0 *:43296 千村 过 

udp 0 0 *3929 放 区 本 

udp 0 2 和 

udp 0 0 *:bootpc 和 
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udp 0 0 *:mdns 小 当当 

udp 0 0 *:sunrpc be 

udp 0 0 *:ipp 二 3 志 

udp 0 0 *:35982 和 

udp 0 0 *:mdns 小 党 渭 

Active UNIX domain sockets (servers and established) 

Proto RefCnt Flags Type State I-Node Path 

unix 2 [CC 1 STREAM LISTENING 16648 /tmp/mapping-root 
unix 2 | STREAM LISTENING 8696 
/var/run/cups/cups.sock 

unix 2 Lt Bee STREAM LISTENING 12997 @/tmp/fam-root-— 
unix 2 [ acc ] STREAM LISTENING 12634 /tmp/.font-unix/fs7100 
unix 2 [Acc] STREAM LISTENING 15311 /tmp/.Xll-unix/Xx0 


从 上 面 的 例子 我 们 可 以 看 出 ，“netstat -a” 命 令 主 要 显示 了 以 下 三 方面 的 内 容 : 
e@ ”所 有 的 TCP 连接 信息 。 

@ ”所 有 的 UDP 连接 信息 。 

e@ ”所 有 处 于 激活 状态 的 socket 端口 信息 。 

又 如 ， 如 果 我 们 要 查看 本 机 的 路 由 表 ， 可 以 使 用 以 下 命令 : 


[root@CentOs ~]# netstat -rn 
Kernel IP routing table 


Destination Gateway Genmask Flags MSS Window irtt 
Iface 

192.168.1.0 0.0.0.0 255a295s255: 和 二 00 0 eth0 
172.16.71:0 0.0.0.0 255525552550 可 00 0 eth0 


4. traceroute 命令 
traceroute 命令 用 来 显示 网 络 数据 传输 的 路 径 信息 ， 以 便 追 踪 数 据 传输 的 路 由 状态 ， 


从 而 查找 网 络 问题 。 其 使 用 格式 为 : 


traceroute [选项 ] [IP 地 址 或 者 主机 名 ] [数据 包 大 小 ] 
traceroute 命令 的 可 用 选项 及 其 具体 含义 如 表 3-46 所 示 。 
表 3-46 traceroute 命令 选项 及 其 含义 


选 项 含义 
- 工 网 络 接口 使 用 指定 的 网 络 接口 收发 数据 
1 使 用 下 地 址 而 不 是 主机 名 
Vv 详细 显示 命令 的 执行 过 程 
-Ww 秒 数 设置 等 待 远程 主机 回应 的 最 大 时 间 
x 开启 或 者 关闭 效 验 数据 包 中 的 数据 
-s 卫 地 址 设置 本 地 主机 发 送 数 据 的 他 地 址 
-g 网 关 正 设置 来 源 的 路 由 网 关 


例如 ， 要 查看 从 本 机 到 访问 www.baidu.com 的 数据 走向 ， 可 以 使 用 以 下 命令 : 


[rootecentOS ~]# traceroute -i eth0 -w 10 www.baidu.com 100 
traceroute to www.baidu.com (119.75.218.70), 30 hops max, 100 byte 
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packets 

1 192.168.111.2 (192.168.111.2) 0.161 ms 0.166 ms 0.118 ms 
2 大 大 妈 
3 大 大 大 
4A 去 太太 
5 太太 大 


从 上 面 的 例子 我 们 可 以 看 出 traceroute 的 最 大 测试 跳 数 为 30 跳 ， 但 由 于 网 络 存在 防火 
墙 ， 所 以 一 些 数据 包 不 能 被 正确 地 反馈 。 


5.telnet 命令 


telnet 命令 的 功能 是 使 用 telnet 协议 与 远程 主机 建立 连接 。 其 使 用 格式 为 : 
telnet [主机 名 或 者 IP 地 址 ] [端口 ] 


6. wget 命令 


wget 命令 用 来 从 网 络 中 下 载 文件 ， 它 是 在 Linux 中 常用 的 网 络 下 载 命 令 ， 其 使 用 格 
式 为 : 
wget [下 载 文件 网 址 ] 


例如 ， 我 们 已 知 Linux3.0.1 内 核 的 下 载 地址， 那么 可 以 使 用 wget 命令 将 其 下 载 到 本 
机 中 : 


[root@CentoOs /]# wget \ 

> http://www.kernel .org/pub/linux/kernel/v3.x/linux-3.0.1.tar.gz 
==2012=02=17 Ll:S2== 

http://www.kernel .org/pub/linux/kernel/v3.x/linux-3.0.1.tar.gz 


Resolving www.kernel.org... 149.20.4.69 
Connecting to www.kernel.org|149.20.4.69|:80... connected. 
HTTP request sent, awaiting response... 200 OK 


Length: 96687674 (92M) [application/x-gzip] 
Saving to: “linux-3.0.1.tar.gz"' 


[0 ] 437,452 23.2K/s eta 55m 28s 


3.2.6 使 用 vi 文本 编辑 工具 


Vi 是 Linux 提示 符 界 面 最 常用 的 文本 编辑 工具 ， 它 允许 用 户 查看 、 搜 索 和 修改 文本 文 
件 。 几 乎 所 有 的 Linux 版 本 都 加 入 了 对 vi 工具 的 支持 ， 所 以 ， 读 者 熟练 掌握 vi 工具 的 使 
用 也 是 非常 必要 的 。 

1. 启动 vi 


要 启动 vi 工具 ， 可 以 在 Linux 提示 符 下 直接 输入 “vi” 命 令 ， 即 可 打开 一 个 新 的 文本 
文件 ， 如 图 3-2 所 示 。 还 会 显示 vi 编辑 器 的 版 本 及 帮助 信息 。 

或 者 ， 如 果 要 使 用 vi 编辑 器 打开 某 个 已 经 存在 的 文本 文件 ， 可 以 在 提示 符 中 输入 如 
下 的 命令 格式 : 

Vi [选项 ] [文件 名 ] 
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3-2 打开 vi 文本 编辑 器 
Vi 命令 可 用 的 选项 及 其 含义 如 表 3-47 所 示 。 
表 3-47 vi 命令 选项 及 其 含义 


选 项 含义 
| 恢复 上 一 次 拉 打 开 时 崩溃 的 文件 

以 只 读 方式 打开 文件 
打开 文件 并 将 光标 置 于 最 后 一 行 
打开 文件 并 将 光标 置 于 第 行 
打开 文件 ， 并 将 光标 置 于 第 一 个 与 pattem 匹配 的 位 置 
打开 文件 之 前 先 执行 指定 的 命令 


+pattern 


+c 命令 


2. vi 的 操作 模式 


vi 编辑 器 有 两 种 基本 的 操作 模式 : 命令 模式 和 输入 模式 。 在 默认 配置 下 ，vi 将 以 命令 
模式 打开 文件 。 
e@ 所 谓 命令 模式 ， 是 指 在 该 模式 下 输入 的 按键 将 作为 操作 指令 来 处 理 ， 例 如 输入 
a， 即 认为 是 要 在 当前 位 置 插入 字符 。 
e ”所 谓 输入 模式 ， 是 指 在 该 模式 下 可 以 在 文档 中 修改 和 输入 字符 。 
从 命令 模式 切换 到 输入 模式 ， 只 需要 输入 相应 的 命令 即 可 (我 们 将 稍 后 介绍 这 些 命 
令 )， 而 从 输入 模式 切换 到 命令 模式 ， 只 需 按 Esc 键 。 


3. vi 编辑 器 的 环境 变量 


vi 的 环境 变量 有 很 多 ， 可 以 使 用 “:set all” 命 令 来 查看 所 有 vi 可 用 的 环境 变量 ， 如 
3-3 所 示 。 

使 用 环境 变量 的 格式 为 : 

: set [变量 名 及 参数 ] 
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:set all 
- Options -- 
ambiwidth=single nohidden nopreserveindent termencoding= 
noautoindent history=59 prompt noterse 
noautoread nohlsearch noreadonly textauto 
noautowrite noignorecase remap notextmode 
noautowriteall iminsert=0 report=2 textwidth=0 
background=light 。 imsearch=8 scroll=12 notildeop 
nobackup noincsearch scrolljunp=1 timeout 
backupcopy-auto ”nolnfercase scrotLoff=8 timeoutlen=1000 
backupext=~ noinsertmode nosecure nottimeout 
backupskip=/tmp/* isprint=@,161-255 shell=/bin/bash ttimeoutlen=-1 
nobinary Joinspaces shellcmdflag=-c ttybuiltin 
nobomb keywordprg=man shellquote= ttyfast 
buflisted nolazyredraw shelltemp ttyscroll=999 
cmdheight=1 lines=24 shellxquote= ttytype=xterm 
columns=80 nolist noshiftround undolevels=1000 
nocompatible Uistchars=eol:$ shiftwidth=8 updatecount=299 
nocopyindent loadplugins noshortname updatetime=4000 
cpoptions-aABceFs magic noshowfulltag verbose-6 
debug= matchtime=5 noshowmatch verbosefile= 
nodelcombine maxcombine=2 shownode novisualbell 
display= maxmapdepth=1699 。 sidescrott-e warn 
- More 


图 3-3 vi 环境 变量 
vi 常用 的 环境 变量 如 表 3-48 所 示 。 
表 3-48 vi 常用 环境 变量 及 其 含义 


number 显示 每 行 的 行 号 

Teadonl 以 只 读 方式 打开 文件 

autowrite 使 文件 在 [:o] 和 [:!] 命 令 之 前 都 自动 保存 
showmode 显示 用 户 当前 处 于 什么 模式 下 
noshowmode 不 显示 用 户 当前 处 于 什么 模式 下 


4. vi 的 基本 操作 


vi 编辑 器 在 命令 模式 下 的 指令 ， 主 要 包括 移动 光标 、 屏 幕 滚动 、 插 入 和 修改 文本 、 搜 
索 和 替换 以 及 保存 退出 等 几 类 命令 ， 具 体 的 命令 如 表 3-49 所 示 。 


表 3-49 vi 命令 模式 指令 及 其 含义 


指 令 含义 
h 光标 左 移 一 个 字符 
| 光标 右 移 一 个 字符 
Backspace 键 光标 左 移 一 个 字符 
上 或 者 Ctrltp 光标 上 移 一 个 字符 
j 或 者 Ctrltn 光标 下 移 一 个 字符 
Enter 键 光标 下 移 一 行 
w 或 者 b 光标 右 移 到 字 首 
e 光标 右 移 到 字 尾 
ngG 光标 移动 到 第 n 行 
nt 光标 下 移 1 行 
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续 表 
指 含 义 
TD 光标 上 移 n 行 
ny 相对 于 现在 所 在 行 ， 光 标 再 后 移 n 行 
H 光标 移动 到 当前 屏幕 项 行 
M 光标 移动 到 当前 屏幕 中 间 行 
乞 光标 移动 到 当前 屏幕 的 最 后 一 行 
0 光标 移动 到 当前 行 首 
$ 光标 移动 到 当前 行 尾 
$ 光标 移动 到 文件 最 后 一 行 的 行 首 
Ctrltu 向 前 滚动 半 
Ctrltd 向 后 滚动 半 
Ctrltb 向 前 滚动 一 屏 
Ctrltf 向 后 滚动 一 屏 
a 将 文件 的 第 n 行 滚动 到 屏幕 项 部， 如 果 不 指定 n 的 值 ， 则 是 将 光标 当前 所 在 行 
滚动 到 屏幕 项 部 
ESC 返回 命令 模式 
I 在 光标 前 插入 文字 
a 在 光标 后 插入 文字 
o 在 当前 行 之 下 插入 文字 
O 在 当前 行 之 上 插入 文字 
r 替换 光标 当前 所 在 的 字符 
x 删除 光标 所 在 的 字符 
dd 删除 光标 所 在 的 行 ， 删 除 后 的 内 容 自 动 保存 在 剪贴 板 中 
将 光标 所 在 的 行 及 其 下 面 的 n-1 行 复制 到 剪贴 板 ， 如 果 不 指定 n 的 值 ， 则 只 复 
制 一 行 
了 将 剪贴 板 中 的 内 容 复制 到 光标 后 
P 将 剪贴 板 中 的 内 容 复 制 到 光标 前 
yw 将 光标 所 在 的 单词 复制 到 剪贴 板 
/abe 在 文件 中 向 前 查找 字符 串 abc 
?abc 在 文件 中 向 后 查找 字符 串 abe 
n 在 同一 方向 重复 上 次 的 搜索 操作 
N 在 反方 向 重复 上 次 的 搜索 操作 
:s/al/a2/g 将 当前 光标 所 在 行 中 的 所 有 al 蔡 换 为 a2 
nl.n2ss/al/a2/g 将 文件 中 第 nl 行 至 n2 行 中 的 所 有 al 替换 为 a2 
:g/al/a2/g 将 文件 中 所 有 的 al 替换 为 a2 
:wd 保存 并 退出 vi 编辑 器 
:wdl 不 保存 文档 ， 直 接 退 出 vi 编辑 器 
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续 表 
指 令 含 义 
洒 | 不 保存 文档 ， 退 出 vi 编辑 器 
i | 保存 文档 
保存 文件 ， 退 出 vi 编辑 器 


3.3 Linux 常用 网 络 配置 文件 


在 本 章 前 面 的 讲述 中 我 们 已 经 提 到 ， 使 用 网 络 配置 命令 来 配置 网 卡 的 地 址 信息 有 一 个 
很 大 的 缺点 就 是 当 网 卡 或 者 主机 重启 后 所 有 配置 信息 会 丢失 ， 这 一 点 在 服务 器 应 用 中 是 
非常 不 利 的 ， 为 了 能 够 长 期 使 用 静态 IP 地 址 ， 我 们 需要 对 Linux 的 网 络 配 置 文件 进行 
设置 。 


3.3.1 网 络 配置 文件 的 位 置 


不 同 发 行 版 本 的 Linux， 其 网 络 配置 文件 的 位 置 略 有 不 同 ， 下 面 以 CentOS 为 例 ， 介 
绍 配 置 网 络 文件 的 路 径 。 

网 络 配置 文件 都 在 /etc 目录 中 ， 具 体 路 径 为 : 

/etc/sysconfig/network-scripts/ifcfg- (网 卡 名 ) “# 根 据 网 卡 类 型 的 不 同 ， 网 卡 配 置 


文件 的 命名 也 会 有 所 不 同 ， 一 般 以 eth0 或 者 ppp0 等 命名 。 
/etc/sysconfig/network-scripts/ifcfg-lo  ## 回 环 网 卡 


/etc/sysconfig/network # 主 机 名 和 网 关 配 置 文件 
/etc/tesolv.conf #DNS 配置 文件 
/etc/hosts # 设 置 主机 和 IP 地 址 绑 定 文件 


3.3.2 ”网络 配置 文件 解析 


修改 网 络 配置 文件 主要 包括 对 网 卡 文件 、 回 环 配置 文件 、 主 机 名 和 网 关 配 置 文件 、 
DNS 配置 文件 以 及 主机 了 P 地 址 绑 定 文件 的 配置 。 

1) 网 卡 配置 文件 

打开 网 卡 配 置 文件 /etc/sysconfig/network-scripts/ifcfg-eth0， 显 示 内 容 如 下 : 


[root@CentOs network-scripts]# more ifcfg-eth0 


DEVICE=eth0 # 网 卡 名 称 
ONBOOT=yes # 开 机 启动 
BOOTPROTO=static #IP 地 址 获得 方式 
BROADCAST=192.168.60.255 ，”# 广 播 地 址 
IPADDR=192.168.60.2 #IP 地 址 
NETMASK=255.255.255.0 # 子 网 掩 码 
NETWORK=192.168.60.0 # 网 络 号 
GATEWAY=192.168.60.1 # 网 关 地 址 


HWADDR=00:0c:29:02:50:58 ”#MAC 地 址 
TYPE=Ethernet # 网 络 类 型 
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其 中 : 

e “DEVICE” 字 段 给 出 了 网 卡 设备 的 名 称 ， 默 认 系 统 会 根据 网 卡 的 类 型 给 出 相应 
的 命名 ， 用 户 也 可 以 自己 定义 。 

e “ONBOOT” 字 段 设 置 网 卡 是 否 开 机 自动 启动 ， 如 果 用 户 不 希望 开机 自动 运 
行 ， 可 以 设置 为 “no”。 

e “BOOTPROTO” 字 段 未 设置 网 卡 地 址 的 获得 方式 ， 此 处 为 “静态 (Staticj)”， 如 
果 用 户 希 望 通过 DHCP 服务 器 分 配 ， 可 以 设置 为 “DHCP”。 

@ “BROADCAST、IPADDR、NETMASK、NETWORK、GATEWAY” 分 别 给 出 
了 广播 地 址 、 卫 地 址 、 子 网 掩 码 、 网 络 号 、 网 关 地 址 的 信息 。 在 静态 获得 IP 地 
址 时 ， 系 统 会 根据 这 些 配 置信 息 来 配置 网 卡 。 

ee “HWADDR” 字 段 给 出 了 网 卡 的 物理 地 址 ， 一 般 情况 下 由 系统 自动 获得 。 

e “TYPE” 字 段 则 给 出 了 网 卡 所 在 网 络 的 类 型 ， 此 处 为 “以 太 网 (Ethemet)”。 

知道 了 这 些 字段 的 含义 后 ， 用 户 可 以 根据 需要 为 主机 设置 网 卡 的 配置 信息 ， 配 置 完成 

使 用 下 面 的 命令 使 网 络 设置 生效 : 


service network restart 


如 果 用 户 希望 在 一 个 网 络 设备 中 绑 定 多 个 人 P 地 址 ， 只 需要 在 /etc/sysconfig/network- 


scripts/ 目 录 中 在 创建 一 个 以 新 的 名 为 文件 名 的 文件 ， 例 如 “ifcfg-rth0:0”， 然 后 将 原 网 卡 
配置 文件 的 信息 复制 到 新 的 文件 中 ， 修 改 其 “DEVICE” 值 为 eth0:0， 修 改 新 的 人 P 地 址 信 
息 即 可 ， 例 如 下 面 的 例子 是 eth0:0 的 卫 配置 信息 。 


DEVICE=eth0:0 # 网 卡 名 称 
ONBOOT=yes # 开 机 启动 
BOOTPROTO=static #IP 地 址 获得 方式 
BROADCAST=192.168.60.255 ， # 广 播 地 址 
IPADDR=192.168.60.3 #IP 地 址 
NETMASK=255.255.255.0 # 子 网 掩 码 
NETWORK=192.168.60.0 # 网 络 号 
GATEWAY=192.168.60.1 # 网 关 地 址 


2) 配置 回环 配置 文件 
打开 回环 配置 文件 /etc/sysconfig/network-scripts/ifcfg-lo， 显 示 内 容 如 下 : 


[root@CentoOs ~]# more /etc/sysconfig/network-scripts/ifcfg-lo 
DEVICE=1o 

IPADDR=127.0.0.1 

NETMASK=255.0.0.0 

NETWORK=127.0.0.0 

# If you're having problems with gated making 127.0.0.0/8 a martian, 
# you can change this to something else (255.255.255.255, for example) 
BROADCAST=127.255.255.255 

ONBOOT=yes 

NAME=loopback 


其 中 ，“DEVICE” 为 系统 默认 设置 ，“NAME” 字 段 的 值 loopback 指出 了 这 是 一 个 


环 地 址 。 


3) 主机 名 和 网 关 配 置 文件 
打开 文件 /etc/sysconfig/network， 显 示 内 容 如 下 所 示 : 
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[root@CentOs ~]# more /etc/sysconfig/network 

NETWORKING=yes 

NETWORKING IPV6=yes 

HOSTNAME=CentOS 

GATEWAY=192.168.60.1 

其 中 : 
“NETWORKING” 字 段 指 出 当前 网 络 是 否 运行 正常 ， 为 系统 自动 设置 。 
“NETWORKING IPV6” 表 示 是 否 支持 IPv6 网 络 ， 如 果 用 户 不 希望 开启 IPv6 
网 络 ， 可 以 设置 为 “no”。 

e@ “HOSTNAME” 则 设置 了 主机 名 。 

@ “GATEWAY” 的 含义 与 这 fg-eth0 中 的 相同 ， 都 是 设置 网 关 卫 地址 。 

4) 配置 DNS 文件 

打开 文件 /etc/resolv.conf， 显 示 内 容 如 下 : 


[root@CentOs ~]# more /etc/resolv.conf 
; generated by /sbin/dhclient-script 
nameserver 192.168.44.2 


其 中 : “nameserver” 即 表示 域名 服务 器 ， 其 后 的 人 P 地 址 为 DNS 服务 器 。 
5) 设置 主机 和 了 P 绑 定 
打开 /etc/hosts 文件 ， 显 示 内 容 如 下 : 


[root@CentOs ~]# more /etc/hosts 

# Do not remove the following line, or various programs 
# that require network functionality will fail. 
127.0.0.1 CentOS localhost.localdomain localhost 
2 localhost6.localdomain6 localhost6 


hosts 文件 用 来 实现 本 地 解析 功能 ， 其 中 每 行 代表 了 一 个 本 地 解析 的 域名 及 地 址 信 
息 ， 每 行 包含 三 条 信息 : 


@ 网络 全 地 址 。 
@ 主机 名 .域名 。 
e@ 主机 名 。 


3.4 本 章 小 结 
本 章 主 要 介绍 了 Linux 中 常用 的 配置 命令 及 其 使 用 方法 ， 以 及 在 Linux 中 常用 的 配置 


文件 的 位 置 及 配置 方法 。Linux 系统 命令 非常 丰富 ， 需 要 读者 在 实践 中 不 断 地 积累 经 验 来 
加 深 记忆 ， 以 达到 快速 上 手 的 目的 。 


3.5 课 后 习题 


1. 填空 题 
(1) 在 Linux 中 ， 若 要 为 命令 “ls -art” 设 置 一 个 别名 tdir， 则 应 在 命令 行 中 输入 别名 


第 3 章 Linux 常用 配置 命令 95 


命令 : 。 从 命令 行 设置 的 别名 只 在 当前 会 话 中 有 效 。 为 想 在 登 
录 时 使 别名 有 效 ， 如 果 你 使 用 的 是 bash， 则 把 这 个 别名 定义 放 在 用 户主 目录 中 的 
文件 或 天 怕 中 3 


(2) 在 Linux 中 ， 用 户 可 通过 命令 来 创建 文件 链接 。 链 接 有 两 种 ， 一 种 被 称 为 
(这 类 链接 也 通常 被 称 为 一 般 链接 )， 它 要 求 链接 文件 和 被 链接 文件 必须 位 于 同一 


个 文件 系统 中 ， 并 且 不 能 链接 目录 。 另 一 种 被 称 为 的 链接 方式 则 不 存在 这 一 
问题 。 
(3) 在 Linux 中 ， 用 户 可 通过 cat 命令 来 创建 一 个 新 文件 。 若 要 创建 新 文件 abc， 则 
应 在 命令 行 中 输入 命令 。 然 后 ， 用 户 可 通过 键盘 输入 文件 内 容 ， 输 入 完 后 按 
Enter 键 ， 然 后 按 组 合 键 或 组 合 键 来 结束 输入 过 程 即 可 。 另 外 ， 用 户 
还 可 以 通过 cp 命令 来 创建 一 个 新 文件 。 若 一 个 位 于 第 一 个 虚拟 终端 号 上 的 用 户 要 通过 cp 
命令 创建 新 文件 abc， 则 你 需 在 命令 行 上 输入 命令 。 
2. 选择 题 
(1) 下 列 ( ) 指 令 可 以 用 来 改变 shell 的 使 用 种 类 。 
A. chown B. chmod C. chsh D. chpwd 
(2) bash 是 指 一 种 (  )。 
A.shell B. batch command C.eai D. asp 
(3) cd .. 这 个 指令 的 用 途 是 ( 。 )。 
A. 切换 到 自家 目录 B. 离线 
C. 回 到 先前 的 路 径 位 置 D. 回 到 上 一 层 目录 
(4) 下 列 (  ) 指 令 可 以 用 来 查看 CPU 的 信息 。 
A.cpu B. mem C.uname D. cat /proc/cpuinfo 
3. 判断 题 
tar 命令 只 能 进行 打包 或 解 包 操 作 ， 没 有 压缩 功能 ， 用 户 要 进行 压缩 操作 ， 必 须 使 用 
其 他 诸如 gzip 之 类 的 压缩 软件 。 ( ) 
4. 简 答题 


(1) 简 述 shell 命令 解释 语言 的 执行 过 程 。 
(2) 简 述 每 个 网 络 配置 文件 的 主要 功能 。 


在 TCP/IP 网 络 上 ， 每 台 计算 机 在 使 用 网 络 之 前 ， 都 要 进行 基本 
的 网 络 配置 ， 一 些 主要 的 参数 ， 如 IP 地 址 、 子 网 掩 码 、 默 认 网 关 、 
DNS 等 都 是 必 不 可 少 的 。 在 配置 这 些 参 数 时 有 两 种 方法 : 一 种 是 静 
态 手工 配置 ; 另 一 种 是 使 用 DHCP 服务 器 动态 配置 。 

在 规模 较 大 的 网 络 中 ， 确 保 所 有 主机 都 拥有 正确 的 网 络 配置 是 
一 项 相当 困难 的 任务 ， 尤 其 对 于 含有 漫游 用 户 和 笔记 本 电脑 的 动态 
网 络 更 是 如 此 。 如 采 经 常 有 计算 机 从 个 二 下 二 


从 网 络 中 移出 ， 手 动 配置 或 重新 配置 数量 巨大 的 字 
很 长 的 时 间 ， 而 采用 手工 配置 了 过 程 中 的 错误 可 能 
与 网 络 中 其 他 主机 通信 。 因 此 我 们 需要 一 种 机 制 来 简 
置 ， 实 现 卫 地 址 的 集中 式 管理 。IETF(mnternet 网 络 工程 师 
设计 的 动态 主机 配置 协议 DHCP 正好 可 以 解决 这 个 问题 。 

DHCP 用 于 为 计算 机 自动 提供 亿 地 址 、 子 网 掩 码 和 路 由 等 网 络 
配置 信息 。 本 章 从 DHCP 服务 器 的 原理 、 安 装 、 配 置 等 方面 介绍 
DHCP 服务 。 
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4.1 DHCP 服务 概述 


4.1.1 DHCP 简介 


动态 主机 配置 协议 DHCP 是 Dynamic Host Configuration Protocol 的 缩写 。DHCP 的 
前 身 是 BOOTP， 它 工作 在 OSI 的 应 用 层 ， 是 一 种 帮助 计算 机 从 指定 的 DHCP 服务 器 获 
取 配置 信息 的 自 举 协议 。DHCP 的 守护 进程 为 dhcpd。 守 护 进程 使 用 的 端口 号 为 UDP 67 
端口 。 

DHCP 使 用 客户 端 /服务 器 (Client/Server) 的 模式 ， 请 求 配置 信息 的 计算 机 叫做 “DHCP 
客户 端 ”， 而 提供 信息 的 叫做 “DHCP 服务 器 ”。DHCP 为 客户 端 分 配 地 址 的 方法 有 3 
种 ， 即 手工 配置 、 自 动 配置 和 动态 配置 。DHCP 最 重要 的 功能 就 是 动态 分 配 ， 除 了 卫 地 
址 ，DHCP 还 为 客户 端 提供 其 他 的 配置 信息 ， 如 子 网 掩 码 、 默 认 网 关 、DNS 等 信息 ， 从 
而 使 得 客户 端 无 须 用 户 动手 即 可 完成 自动 配置 并 连接 网 络 。 

DHCP 服务 器 将 TCP/IP 网 络 设置 集中 起 来 ， 动 态 处 理 客户 端 卫 地 址 的 配置 ， 当 设备 
接 入 到 网 络 中 时 ， 它 们 会 向 DHCP 服务 器 请 求 一 个 卫 地 址 。DHCP 服务 器 为 每 个 请 求 的 
设备 分 配 一 个 IP 地 址 ， 直 到 分 配 完 该 范围 内 所 有 卫 地 址 为 止 。 已 经 分 配 的 人 P 地 址 必须 
定时 延长 租 期 ， 这 个 延期 的 过 程 叫做 leasing， 确 保 了 客户 机 设备 在 正常 释放 IP 地 址 之 前 
突然 断 网 时 服务 器 可 将 其 人 P 地 址 收回 。 用 DHCP 租约 和 预 置 卫 地 址 相 联系 ， 使 DHCP 服 
务 器 实现 了 在 TCP/IP 网 络 上 安全 地 分 配 和 租用 他 地 址 的 机 制 ， 完 成 了 卫 地 址 的 集中 式 
管理 ， 而 不 再 需要 管理 员 的 人 为 干预 。 


4.1.2 ”DHCP 的 优点 


DHCP 简化 了 客户 机 的 网 络 参数 配置 和 管理 工作 。 对 于 IP 地 址 与 TCP/IP 相关 参数 的 
分 配 ， 基 本 上 不 需要 网 络 管理 员 的 人 为 干预 。 网 络 中 的 DHCP 服务 器 自动 的 为 DHCP 客 
户 端 分 配 卫 地 址 及 TCP/IP 的 配置 信息 。 

DHCP 在 快速 发 送 客户 端 网 络 配 置 方 面 很 有 用 ， 当 配置 客户 端 系统 时 ， 若 管理 员 选 择 
DHCP， 则 不 必 输 入 IP 地 址 、 子 网 掩 码 、 网 关 或 DNS 服务 器 ， 客 户 端 从 DHCP 服务 器 中 
检索 这 些 信息 。DHCP 在 网 络 管理 员 想 改变 网 络 的 了 地 址 时 也 有 用 ， 与 其 重新 配置 所 有 
系统 ， 不 如 编辑 服务 器 中 的 一 个 用 于 新 卫 地 址 集合 的 DHCP 配置 文件 。 如 果 某 机 构 的 
DNS 服务 器 改变 ， 这 种 改变 只 需 在 DHCP 服务 器 中 ， 而 不 必 在 DHCP 客户 端 上 进行 。 一 
旦 客户 端的 网 络 被 重新 启动 (或 客户 端 重新 引导 系统 )， 改 变 就 会 生效 。 除 此 之 外 ， 如 果 便 
携 电 脑 或 任何 类 型 的 可 移动 计算 机 被 配置 使 用 DHCP， 只 要 每 个 办 公 室 都 有 一 个 允许 其 联 
网 的 DHCP 服务 器 ， 它 就 可 以 不 必 重 新 配置 而 在 办 公 室 间 自 由 移动 。 

在 网 络 中 应 用 DHCP 有 以 下 优点 : 

e@ ”减少 错误 。 通 过 配置 DHCP， 把 手工 配置 PP 地 址 所 导致 的 错误 减少 到 最 低 程 

度 ， 例 如 已 分 配 的 他 再 次 分 配给 另 一 设备 所 造成 的 地 址 冲突 等 将 大 大 减少 。 
@ ”减少 网 络 管理 。TCP/IP 配置 是 集中 化 和 自动 完成 的 ， 不 需要 网 络 管理 员 手 工 配 
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置 。 网 络 管理 员 能 集中 定义 全 局 和 特定 子 网 的 TCP/IP 配置 信息 。 使 用 DHCP 选 
项 可 以 自动 给 客户 机 分 配 全 部 范围 的 附加 TCP/P 配置 值 。 
当然 DHCP 也 有 一 些 缺 点 : DHCP 不 能 发 现 网 络 上 非 DHCP 客户 机 已 经 在 使 用 的 人 P 
地 址 ; 当 网 络 上 存在 多 个 DHCP 服务 器 时 ， 一 个 DHCP 服务 器 不 能 查 出 已 被 其 他 服务 
器 租 出 去 的 人 P 地 址 ，DHCP 服务 器 不 能 跨 路 由 器 与 客户 机 通信 ， 除 非 路 由 器 允许 BOOTP 
转发 。 


4.1.3 ”DHCP 的 工作 流程 


DHCP 是 一 个 基于 广播 的 协议 。 客 户 机 通过 广播 向 服务 器 申请 IP 地 址 ， 服 务 器 将 他 
地 址 并 将 其 他 TCP/IP 网 络 配置 信息 发 送 给 客户 机 。 申 请 的 过 程 可 归纳 为 4 个 阶段 : 发现 
阶段 、 提 供 阶段 、 选 择 阶段 、 确 认 阶 段 ， 如 图 4-1 所 示 。 


1.DHCPDISCOVER IP 租 借 请 求 


二 
2. DHCPOFFER IP 租 借 提供 N 
A 
3. DHCPREQUEST IP 租 借 选 择 
DHCP 服 务 器 4. DHCPPACK IP 租 借 应 答 DHCP 客 户 端 


图 4-1 DHCP 工作 流程 
1. 发 现 阶段 


即 DHCP 客户 端 查找 DHCP 服务 器 的 阶段 。 客 户 机 以 广播 方式 (因为 DHCP 服务 器 的 
IP 地 址 对 于 客户 端 来 说 是 未 知 的 ) 发 送 DHCPDISCOVER 信息 来 查找 DHCP 服务 器 ， 即 向 
地 址 255.255.255.255 发 送 特定 的 广播 信息 ， 目 的 端口 号 为 67。 网 络 上 每 一 台 安 装 了 
TCP/P 的 主机 都 会 接收 到 这 种 广播 信息 ， 但 只 有 DHCP 服务 器 才 会 做 出 响应 。 


2. 提供 阶段 


即 DHCP 服务 器 提供 IP 地 址 的 阶段 ， 在 网 络 中 接收 到 DHCPDISCOVER 信息 的 
DHCP 服务 器 都 会 做 出 响应 。 它 从 尚未 出 租 的 P 地 址 中 挑选 一 个 分 配给 DHCP 客户 端 ， 
向 其 发 送 一 个 包含 出 租 的 人 P 地 址 、 子 网 掩 码 、DHCP 服务 器 地 址 、IP 租用 期 限 等 数据 的 
DHCPOFFER 数据 包 。 由 于 客户 端 在 开始 的 时 候 没有 卫 地 址 ， 所 以 DHCPDISCOVER 包 
内 会 包含 客户 端 MAC 地 址 信息 并 有 一 个 xid 编号 用 来 标识 该 包 。DHCP 服务 器 会 根据 这 
些 信息 将 DHCPOFFER 包 发 送 给 客户 端 。 


条 注意 : ”MAC 地 址 也 叫 物理 地 址 、 硬 件 地 址 或 链 路 地 址 ， 由 6 字 节 48bit 组 成 。 该 地 
址 是 由 OSI 参考 模型 中 数据 链 路 层 中 的 媒体 访问 控制 子 层 定义 ， 由 网 络 设备 
制造 商 生产 时 写 在 网 络 硬件 内 部 。 一 般 来 说 ，MAC 地 址 是 全 球 唯一 的 。 

3. 选择 阶段 


即 DHCP 客户 端 选择 某 台 DHCP 服务 器 提供 的 人 P 地 址 的 阶段 。 如 果 有 多 台 DHCP 服 
务 器 向 DHCP 客户 端 发 送 DHCPOFFER 信息 ， 则 DHCP 客户 端 会 在 其 中 挑选 一 个 
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DHCPOFFER 信息 (通常 是 最 先 到 达 的 那个 ) 。 然 后 它 就 以 广播 方式 回答 一 个 
DHCPREQUEST 信息 ， 该 信息 中 包含 向 它 所 选 定 的 DHCP 服务 器 请 求 PP 地 址 的 内 容 。 之 
所 以 要 以 广播 方式 回答 ， 是 为 了 通知 所 有 DHCP 服务 器 ， 它 将 选择 某 台 DHCP 服务 器 所 
提供 的 也 地 址 。 

同时 DHCP 客户 端 还 会 向 网 络 中 发 送 一 个 arp 包 ， 如 果 查 询 到 网 络 中 该 PP 地 址 是 否 
已 经 被 使 用 ， 客 户 端 将 发 送 一 个 DHCPDECLINE 包 给 DHCP 服务 器 ， 并 重新 发 送 
DHCPDISCOVER 信息 。 


4. 确认 阶段 


即 DHCP 服务 器 确认 所 提供 的 人 P 地 址 的 阶段 。 当 DHCP 服务 器 收 到 DHCP 客户 端 
答 的 DHCPREQUEST 信息 之 后 ， 它 向 DHCP 客户 端 发 送 一 个 包含 其 所 提供 的 人 P 地 址 和 
其 他 设置 的 dhcpack 信息 ， 告 诉 DHCP 客户 端 可 以 使 用 该 卫 地址， 然后 DHCP 客户 端 便 
将 其 TCP/IP 与 网 卡 绑 定 。 另 外 ， 除 DHCP 客户 端 选中 的 服务 器 外 ， 其 他 的 DHCP 服务 器 
都 将 收回 曾 提供 的 他 地址 。 

对 于 那些 已 经 分 配 人 P 且 租约 尚未 到 期 的 客户 端 ， 客 户 端 每 次 重新 登录 网 络 时 ， 不 需 
要 发 送 DHCPDISCOVER 信息 ， 而 是 直接 发 送 包 含 前 一 次 所 分 配 的 瑟 地 址 的 
DHCPREQUEST 信息 。 当 DHCP 服务 器 收 到 这 一 信息 后 ， 它 会 尝试 让 DHCP 客户 端 继续 
使 用 原来 的 卫 地 址 ， 并 回答 一 个 dhcpack 信息 。 如 果 此 人 P 地 址 已 无 法 再 分 配给 原来 的 
DHCP 客户 端 使 用 (比如 此 人 P 地 址 已 分 配给 其 他 DHCP 客户 端 使 用 )， 则 DHCP 服务 器 给 
DHCP 客户 端 回答 一 个 dhcpack 信息 。 当 原来 的 DHCP 客户 端 收 到 此 信息 后 ， 必 须 重新 发 
送 DHCPDISCOVER 信息 来 请 求 新 的 卫 地 址 。 

下 面 ， 介 绍 一 下 DHCP 更 新 租约 的 过 程 ， 如 图 4-2 所 示 。DHCP 服务 器 向 DHCP 客户 
端 出 租 的 人 P 地 址 一 般 都 有 一 个 租借 期 限 ， 期 满 后 DHCP 服务 器 便 会 收回 该 了 P 地 址 。 如 果 
DHCP 客户 端 要 延长 其 人 P 租约 ， 则 必须 更 新 其 卫 租约 。DHCP 客户 端 启动 时 和 卫 租约 期 
限 过 一 半 时 ，DHCP 客户 端 都 会 自动 向 DHCP 服务 器 发 送 更 新 其 IP 租约 的 信息 。 


1. DHCPREQUEST 9 
2. DHCPPACK QS 


DHCP 服 务 器 DHCP 客 户 端 


回 


图 4-2 DHCP 更 新 租约 


退 注意 ;由 于 DHCP 是 基于 广播 的 协议 ， 因 此 在 一 般 情 况 下 服务 器 和 客户 机 应 位 于 
同一 个 网 络 中 。 对 于 跨 网 段 的 DHCP 可 以 使 用 DHCP 中 继 来 实现 ， 后 面 章 
节 将 做 详细 介绍 。 


4.1.4 DHCP 术语 


DHCP 术语 如 表 4-1 所 示 。 
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表 4-1 DHCP 术语 


描 述 
“作用 域 ”是 网 络 上 可 能 的 卫 地 址 的 完整 连续 范围 。 作 用 域 通常 定义 为 接受 DHCP 
服务 的 网 络 上 的 单个 物理 子 网 。 作 用 域 还 为 网 络 上 的 客户 端 提供 服务 器 对 IP 地 址 及 
任何 相关 配置 参数 的 分 发 和 指派 进行 管理 的 主要 方法 
“超级 作用 域 ”是 作用 域 的 管理 组 合 ， 它 可 用 于 支持 同一 物理 子 网 上 的 多 个 逻辑 卫 
子 网 。 超 级 作用 域 仅 包含 可 同时 激活 的 “成 员 作 用 域 ”或 “ 子 作用 域 ”列表 。 超 级 作 
用 域 不 用 于 配置 有 关 作用 域 使 用 的 其 他 详细 信息 。 如 果 想 配置 超级 作用 域内 使 用 的 多 
数 属性 ， 需 要 单独 配置 成 员 作用 域 属性 
“排除 范围 ”是 作用 域内 从 DHCP 服务 中 排除 的 有 限 他 地 址 序列 。 排 除 范围 确保 
服务 器 不 会 将 这 些 范围 中 的 任何 地 址 提供 给 网 络 上 的 DHCP 客户 端 
在 定义 了 DHCP 作用 域 并 应 用 排除 范围 之 后 ， 剩 余 的 地 址 在 作用 域内 形成 可 用 的 
“地 址 池 ”。 服 务 器 可 将 池内 地 址 动态 地 指派 给 网 络 上 的 DHCP 客户 端 
“租约 ”是 由 DHCP 服务 器 指定 的 一 段 时 间 ， 在 此 时 间 内 客户 端 计算 机 可 使 用 指派 
的 人 P 地 址 。 当 向 客户 端 提供 租约 时 ， 租 约 是 “活动 ”的 。 在 租约 过 期 之 前 ， 客 户 端 
通常 需要 向 服务 器 更 新 指派 给 它 的 地 址 租约 。 当 租约 过 期 或 在 服务 器 上 被 删除 时 ， 它 
将 变 成 “ 非 活动 ”的 。 租 约 期 限 决定 租约 何 时 期 满 以 及 客户 端 需要 向 服务 器 对 它 进行 
更 新 的 频率 
可 使 用 “保留 ”创建 DHCP 服务 器 指派 的 永久 地 址 租约 。 保 留 可 确保 子 网 上 指定 的 
硬件 设备 始终 可 使 用 相同 的 IP 地 址 
“选项 类 型 ”是 DHCP 服务 器 在 向 DHCP 客户 端 提供 租约 时 可 指派 的 其 他 客户 端 配 
置 参数 。 例 如 ， 一 些 常用 选项 包含 用 于 默认 网 关 ( 路 由 器 )、DNS 服务 器 的 IP 地 址 。 
通常 ， 为 每 个 作用 域 启用 并 配置 这 些 选项 类 型 。DHCP 控制 台 还 允许 您 配置 由 服务 器 
上 添加 和 配置 的 所 有 作用 域 使 用 的 默认 选项 类 型 。 虽 然 大 多 数 选项 都 是 在 RFC 2132 
中 预定 义 的 ， 但 若 需要 时 也 可 使 用 DHCP 控制 台 定义 并 添加 自 定义 选项 类 型 


超级 作用 域 


排除 范围 


地 址 池 


租约 


保留 


选项 类 型 


4.2 DHCP 服务 的 安装 与 运行 


4.2.1 安装 DHCP 服务 器 


CentOS 5 在 默认 安装 时 不 会 安装 DHCP 服务 器 软件 包 ， 用 户 可 以 在 安装 系统 后 单独 
安装 。 安 装 步骤 如 下 : 

(1) 检查 Linux 系统 是 否 安装 了 DHCP 服务 软件 包 。 

# rpm -qa | grep dhcp 

(2) 加 载 CentOS 光盘 ， 进 入 光盘 目录 的 CentOS 文件 夹 。 


#cd /media/Centos 5.*/Centos 


(G3) 安装 DHCP 服务 器 软件 包 。 
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# rpm -ivh dhcp-* 


显示 结果 如 下 : 
Preparing... 非 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 井 井 井 间 井 间 并 夫 [1 OO 名] 
1:dhcp 非 提 非 莫非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 提 井 提 [ SO 名] 


2:dhcp-devel 非 非 提 提 非 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 间 间 间 间 井 提 [OO 名] 
(4) 再 次 检查 DHCP 服务 器 软件 包 安 装 情况 。 
# rpm -qa | grep dhcp 
显示 结果 如 下 所 示 ， 即 说 明 DHCP 服务 器 已 经 安装 成 功 。 
dhcp-3.0.5-23.e15 


dhcpv6-client-1.0.10-20.e15 
dhcp-devel-3.0.5-23.e15 


dhcp-3.0.5-23.el5 软件 包 为 DHCP 服务 器 软件 包 ， 是 必须 安装 的 。dhcpv6-client- 


1.0.10-20.el5 软件 包 为 IPv6 协议 下 支持 动态 配置 Pv6 地 址 的 DHCP 客户 端 ，dhcp-devel- 
3.0.5-23.el5 为 DHCP 的 API 开发 包 ， 包含 DHCP 中 的 所 有 的 类 库 和 头 文件 。 在 光盘 软件 
包 中 还 有 一 个 dhcpv6-1.0.10-18.el5.i386.mpm， 是 用 于 IPv6 下 DHCP 服务 器 软件 的 。 


4.2.2 启动 DHCP 服务 器 


1. 启动 DHCP 服务 器 
可 以 使 用 以 下 两 种 命令 启动 DHCP 服务 器 : 


# service dhcpd start 


启动 dhcpd: [确定 ] 
# /etc/init.d/dhcpd start 

启动 dhcpd: [确定 ] 
2. 停止 DHCP 服务 器 

使 用 以 下 两 种 命令 可 以 停止 DHCP 服务 器 的 运行 : 


# service dhcpd stop 
关闭 dhcpd: [确定 ] 


# /etc/init.d/dhcpd stop 
关闭 dhcpd: [确定 ] 


3. 重新 启动 DHCP 服务 器 
使 用 以 下 两 种 命令 可 以 重新 启动 DHCP 服务 器 : 


# service dhcpd restart 
关闭 dhcpd: [确定 ] 
启动 dhcpd: [确定 ] 


# /etc/init.d/dhcpd restart 
关闭 dhcpd: [确定 ] 
启动 dhcpd: [确定 ] 
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4. 使 用 ps 命令 检查 dhcpd 进程 情况 


# ps -ef | grep dhcpd 
root 21859 1 0 19:36 ? 00:00:00 /usr/sbin/dhcpd 
root 29110 21833 0 22:59 pts/1 00:00:00 grep dhcpd 


5. 使 用 netstat 检查 dhcpd 运行 的 端口 


# netstat -nutap | grep dhcpd 
udp 0 0 0.0.0:0567 O00a0:* 21859/dhcpd 


6. 设置 DHCP 服务 器 开机 自 启动 


# chkconfig --level 345 dhcpd on 


7. 使 用 图 形 化 方式 设置 DHCP 服务 器 


CentOS 5 中 自 带 了 一 种 很 好 的 设置 服务 器 各 种 服务 的 工具 。 选 择 “ 系 统 ” 一 “ 管 
理 ” 一 “服务 器 设置 ”一 “服务 ”， 打 开 CentOS 中 的 “服务 配置 ”窗口 ， 如 图 4-3 所 
示 。 在 该 窗口 中 选中 dhcpd 服务 ， 然 后 单 击 “ 开 始 ”、“ 停 止 ”、“ 重 启 ” 等 按钮 即 可 实 
现 对 dhcp 服务 的 启动 、 停 止 和 重启 操作 。 在 窗口 中 选中 dhcpd 复 选 框 ， 还 可 以 实现 dhcpd 
服务 的 开机 自动 运行 。 


ET 


Co 
这 灿 阳 入 也 细 证 一 涛 ,外语 和 这 
行 * 售 林 以 手 定 局 盐 它 的 运行 等 级 ” 


图 4-3 CentOS 5 中 的 服务 配置 


4.3 ”DHCP 服务 的 配置 文件 


DHCP 服务 的 主要 配置 文件 有 两 个 : 一 个 是 主 配置 文件 /etc/dhcpd.conf; 另 一 个 是 网 卡 
启动 文件 /etc/sysconfig/dhcpd。 下 面 将 对 这 些 文件 进行 介绍 。 


于 注意 :不同 版 本 的 CentOS 所 配置 的 DHCP 软件 版 本 不 同 ， 其 实际 的 安装 路 径 也 不 
尽 相 同 。 如 CentOS 6.2 默认 包含 的 DHCP 版 本 为 4.1.1， 其 配置 文件 所 在 目 
录 为 /etc/dhcp/dhcpd.conf。 我 们 可 以 使 用 rpm -ql dhcp 命令 来 查看 dhcp 软件 
包 中 每 个 文件 的 具体 位 置 。 
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4.3.1 DHCP 主 配 置 文件 


DHCP 主 配置 文件 是 /etc/dhcpd.conf 文件 。 在 CentOS 5 中 ，DHCP 服务 软件 包 安 装 完 
成 后 主 配置 文件 /etc/dhcpd.conf 没有 包含 配置 信息 ， 需 要 用 户 从 DHCP 服务 器 模板 中 复制 
或 者 手工 创建 主 配 置 文件 。 例如， 在 CentOS 5.5 中 安装 DHCP 服务 后 可 查看 主 配置 文件 
内 容 : 

# more /etc/dhcpd.conf 


显示 内 容 如 下 所 示 : 


# 
# DHCP Server Configuration file. 


# see /usr/share/doc/dhcp*/dhcpd.conf.sample 
# 


用 户 可 以 直接 将 DHCP 的 配置 模板 /usr/share/doc/dhcp*/dhcpd.conf.sample 中 的 内 容 蔡 
换 为 /etc/dhcpd.conf 即 可 : 


#cp /usr/share/doc/dhcp*/dhcpd.conf.sample /etc/dhcpd.conf -f 


查看 此 配置 文件 : 


# more /etc/dhcpd.conf 


可 得 到 配置 文件 内 容 如 下 : 


ddns-update-style interim; 
ignore client-updates; 
subnet 192.168.0.0 netmask 255.255.255.0 { 


# --- default gateway 
option routers L922.16060.1? 
option subnet-mask 255-255<-295.05 
option nis-domain "domain.org"; 
option domain-name "domain.org"; 
option domain-name-servers 1921689.1.18 
option time-offset -18000; # Eastern Standard Time 
# option ntp-servers 192.168.1.1; 
# option netbios-name-servers 192.1689.1.1; 
# --- Selects point-to-point node (default is hybrid). Don't change this 
unless 
# -- you understand Netbios very well 
# option netbios-node-type 2; 


range dynamic-bootp 192.168.0.128 192.168.0.254; 
default-lease-time 21600; 
max-lease-time 43200; 
# we want the nameserver to appear at a fixed address 
host ns { 
next-server marvin.redhat.com; 
hardware ethernet 12:34:56:78:AB:CD; 
fixed-address 207.175.42.254; 


DHCP 服务 主 配置 文件 的 基本 规范 如 下 : 
e “#” 为 注释 符号 。 
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除 在 右 括 号 “) ”后面 外 ， 其 他 每 一 行 都 要 以 “; ”为 结尾 。 

设 定 项 目 语法 主要 为 『 < 参数 代号 > < 设 定 内 容 > 」， 例 如 : default-lease-time 
259200。 

某 些 设 定 项 目 必须 以 option 来 设 定 ， 基 本 方式 为 『 option < 参数 代码 > < 设 定 内 


容 > 」， 例 如 : option domain-name "your.domain.name"。 


为 方便 记忆 和 理解 ， 一 般 将 DHCP 主 配置 文件 分 为 3 个 部 分 : parameters 参数 、 
declarations 声明 和 option 选项 。 


1. DHCP 配置 文件 中 的 parameters 参数 


parameters 表明 如 何 执行 任务 ， 是 否 要 执行 任务 或 将 哪些 网 络 配置 选项 发 送 给 客户 
端 ， 主 要 参数 如 表 4-2 所 示 。 


表 4-2 DHCP 配置 文件 中 的 主要 参数 


参 数 解 释 
ddns-update-style 配置 DHCP-DNS 互动 更 新 模式 
default-lease-time 指定 默认 租赁 时 间 的 长 度 ， 单 位 是 秒 
max-lease-time 指定 最 大 租赁 时 间 的 长 度 ， 单 位 是 秒 
hardware 指定 网 卡 接口 类 型 和 MAC 地址 
server-name, 通知 DHCP 客户 端 服务 器 名 称 
get-lease-hostnames flag 检查 客户 端 使 用 的 耳 地 址 
fixed-address ip 分 配给 客户 端 一 个 固定 的 地 址 
authritative 拒绝 不 正确 的 他 地 址 的 要 求 


2. DHCP 配置 文件 中 的 declarations 声明 
declarations 用 来 描述 网 络 布局 及 提供 客户 的 他 地 址 等 ， 主 要 声明 如 表 4-3 所 示 。 


表 4-3 DHCP 配置 文件 中 的 主要 声明 


声 明 解 释 
shared-network 用 来 告知 是 否 一 些 子 网 络 共享 相同 网 络 
subnet 描述 一 个 人 P 地 址 是 否 属于 该 子 网 
range 起 始 卫 终止 全 提供 动态 分 配 IP 的 范围 
host 主机 名 称 参考 特别 的 主机 
i 为 一 组 参数 提供 声明 
allow unknown-clients ; deny unknown-client 是 否 动 态 分 配 IP 给 未 知 的 使 用 者 
allow bootp;deny bootp 是 否 响 应 激活 查询 
allow booting ; deny booting 是 否 响应 使 用 者 查询 


filename 


开始 启动 文件 的 名 称 ， 应 用 于 无 盘 工 作 站 


next-server 


设置 服务 器 从 引导 文件 中 装 入 主机 名 ， 应 用 于 无 盘 工 
作 站 
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3. DHCP 配置 文件 中 的 option 选项 


option 用 来 配置 DHCP 可 选 参数 ， 全 部 用 option 关键 字 作为 开始 ， 主 要 选项 如 表 4-4 
所 示 。 


表 4-4 DHCP 配置 文件 中 option 关键 字 的 主要 选项 


解 释 
为 客户 端 设 定子 网 掩 码 
为 客户 端 指明 DNS 名 字 
为 客户 端 指明 DNS 服务 器 的 卫 地 址 
为 客户 端 指定 主机 名 称 
为 客户 端 设 定 默认 网 关 
为 客户 端 设 定 广 播 地 址 
为 客户 端 设 定 网 络 时 间 服 务 器 的 也 地 址 
time-offset 为 客户 端 设 定格 林 尼 治 时 间 的 偏 移 时 间 ， 单 位 是 秒 


在 修改 主 配 置 文件 时 ， 需 要 注意 地 址 池 的 范围 一 定 要 在 子 网 的 有 效 IP 地 址 范围 之 
内 。 如 地 址 池 的 人 P 地 址 范围 超出 了 子 网 的 有 效 人 P 地 址 范围 ， 启 动 或 重启 DHCP 服务 ， 系 
统 将 提示 错误 信息 。 同 时 本 机 网 卡 的 人 P 地 址 也 需要 在 DHCP 定义 的 网 络 范围 之 内 。 若 用 
户 耻 不 在 其 网 段 中 ， 启 动 或 者 重启 DHCP 服务 时 ， 系 统 也 会 提示 错误 信息 。 


狂 注意 :， 如 果 客 户 端 使 用 Windows 操作 系统 ， 不 要 为 其 指定 host-name 主机 名 称 
选项 。 


4.3.2 DHCP 的 网 卡 启动 文件 


DHCP 的 网 卡 启动 文件 为 /etc/sysconfig/dhcpd， 主 要 用 来 设置 DHCP 服务 从 哪 块 网 卡 
启动 。 该 配置 文件 内 容 如 下 : 


# Command line options here 
DHCPDARGS= 


其 中 ，DHCPDARGS 用 来 设置 DHCP 服务 器 通过 哪 块 网 卡 启动 ， 这 在 多 网 卡 的 服务 
器 中 是 非常 有 必要 的 。 如 DHCP 服务 器 只 有 一 块 网 卡 ， 则 无 须 设置 该 配置 文件 。 例 如 通 
过 eth0 的 网 卡 来 启动 DHCP 服务 ， 则 可 修改 /etc/sysconfig/dhcpd 文件 ， 做 出 更 改 如 下 : 


DHCPDARGS=eth0 


如 果 有 一 个 带 有 两 块 网 卡 的 防火 墙 机 器 ， 这 种 方法 就 会 大 派 用 场 。 一 块 网 卡 可 以 被 配 
置 成 DHCP 客户 端 从 互联 网 上 检索 IP 地 址 ; 另 一 块 网 卡 可 以 被 用 做 防火 墙 之 后 的 内 部 网 
络 的 DHCP 服务 器 。 仅 指定 连接 到 内 部 网 络 的 网 卡 使 系统 更 加 安全 ， 因 为 用 户 无 法 通过 
互联 网 来 连接 其 守护 进程 。 

其 他 可 在 /etc/sysconfig/dhcpd 中 指定 的 命令 行 选项 如 下 : 

(1) -p<portnum>: 指定 dhcpd 应 该 监听 的 UDP 端口 号 码 ， 默 认 值 为 67。DHCP 服务 


subnet-mask 


domain-name 


domain-name-servers 


host-name 


routers, 
broadcast-address 


ntp-server 
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器 在 比 指定 的 UDP 端口 大 一 位 的 端口 号 上 把 回应 传输 给 DHCP 客户 端 。 例 如 ， 如 果 使 用 
默认 端口 67， 服 务 器 就 会 在 端口 67 上 监听 请 求 ， 然 后 在 端口 68 上 回应 客户 。 如 果 在 此 
处 指定 了 一 个 端口 号 ， 并 且 使 用 了 DHCP 转发 代理 ， 所 指定 的 DHCP 转发 代理 所 监听 的 
端口 必须 是 同一 端口 。 

(2) -f: 把 守护 进程 作为 前 台 进 程 运行 ， 在 调试 时 最 常用 。 

(3) -d: 把 DCHP 服务 器 守护 进程 记录 到 标准 错误 描述 器 中 ， 在 调试 时 最 常用 。 如 果 
未 指定 ， 日 志 将 被 写 入 /varlog/messages 中 。 

(4) -cf<filename>: 指定 配置 文件 的 位 置 ， 默 认为 /etc/dhcpd.conf。 

(5) -lf<filename>: 指定 租 期 数据 库 文件 的 位 置 。 如 果 租 期 数据 库 文件 已 存在 ， 在 
DHCP 服务 器 每 次 启动 时 使 用 同一 个 文件 至 关 重 要 。 建 议 只 在 无 关 紧要 的 机 器 上 为 调试 目 
的 才 使 用 该 选项 ， 默 认为 /var/lib/dhcp/dhcpd.leases。 

(6) -q: 在 启动 该 守护 进程 时 ， 不 要 显示 整 篇 版 权 信 息 。 


4.3.3 ”DHCP 服务 器 端 租约 文件 


运行 DHCP 服务 还 需要 一 个 名 为 “dhcpd.leases” 的 文件 ， 它 在 服务 器 端 保存 所 有 已 
经 分 发 的 他 地 址 。 在 CentOS 5 中 ， 该 文件 位 于 /varlib/dhcpd/ 目 录 中 。dhcpd.leases 的 文件 
格式 为 : 


Leases address {statement} 


一 个 典型 的 租约 文件 内 容 如 下 : 


# All times in this file are in UTC (GMT), not your local timezone. 
This is 

# not a bug, so please don't ask about it. There is no portable way to 
# store leases in the local timezone, so please don't request this as a 
# feature. If this is inconvenient or confusing to you, we sincerely 
# apologize. Seriously, though - don't ask. 

# The format of this file is documented in the dhcpd.leases(5) manual 
page. 

# This lease file was written by isc-dhcp-V3.0.5-RedHat 


lease 192.168.0.252 { #DHCP 服务 器 分 配 的 IP 地 址 
starts 1 2012/03/19 06:26:16; # lease 开始 租约 时 间 
ends 1 2012/03/19 12:26:16; # lease 结束 租约 时 间 
binding state active; # 租约 的 绑 定 状态 为 激活 
next binding state free; # 下 一 个 租约 的 绑 定 状态 为 自由 
hardware ethernet 00:0c:29:87:8f:26; # 客户 机 网 卡 的 MAC 地 址 


} 


迁 注意 : “lease 开始 租约 时 间 和 lease 结束 租约 时 间 是 格林 尼 治标 准时 间 (GMT)， 不 是 
本 地 时 间 。 

第 1 次 运行 DHCP 服务 器 时 ，dhcpd.leases 是 一 个 空 文件 ， 也 不 用 手工 建立 。 如 果 不 

是 通过 RPM 安装 DHCP 服务 器 ， 或 者 dhcpd 已 经 安装 ， 那 么 应 该 确保 该 文件 存在 。 也 可 
以 手工 建立 一 个 空 文件 : 


#touch /var/lib/dhcp/dhcpd.leases 
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4.3.4 DHCP 客户 端 租约 文件 


DHCP 客户 端 租约 文件 为 /var/lib/dhcp/dhclient.leases。 该 文件 用 于 记录 DHCP 客户 的 
租约 信息 ， 如 租用 的 DHCP 服务 器 的 人 P 地 址 、 子 网 掩 码 、 网 关 、DNS 信息 、 域 名 、 最 小 
租 期 、 最 大 租 期 等 。 

客户 端 租约 文件 格式 如 下 : 


lease {statement} 


相同 的 网 卡 接口 可 能 有 多 条 记录 ， 一 般 以 最 后 的 记录 为 准 。 
/var/lib/dhclinet/dhclient.lease 内 容 如 下 : 


lease { 
interface "eth0"; 
fixed-address 192.168.0.252; 
option subnet-mask 255.255.255.0; 
option time-offset -18000; 
option dhcp-lease-time 21600; 
option routers 192.168.0.1; 
option dhcp-message-type 5; 
option dhcp-server-identifier 192.168.0.1; 
option domain-name-servers 192.168.1.1; 
option nis-domain "domain.org"; 
option domain-name "domain.org"; 
renew 1 2012/3/19 14:15:51; 
rebind 1 2012/3/19 16:52:04; 
expire 1 2012/3/19 17:37:04; 
» 


lease { # 最 后 的 记录 为 最 近 生 效 的 记录 
interface "ethO"; # 端 口 eth0 
fixed-address 192.168.0.252; # 分 配 到 的 IP 地 址 
option subnet-mask 255.255.255.0; # 分 配 到 的 子 网 掩 码 
option time-offset -18000; # 时 区 差 
option routers 192.168.0.1; # 网 关 地 址 
option dhcp-lease-time 21600; #DHCP 释放 时 间 
option dhcp-message-type 5; #DHCP 消息 类 型 
option domain-name-servers 192.168.1.1; #DNS 服务 器 IP 地 址 
option dhcp-server-identifier 192.168.0.1; ”#DHCP 服务 器 IP 地 址 
option nis-domain "domain.org"; #NIS 域名 
option domain-name "domain.org"; # 域 名 
renew 1 2012/3/19 13:55:51; # 更 新 时 间 
rebind 1 2012/3/19 16:54:34; # 重 新 绑 定时 间 
expire 1 2012/3/19 17:39:34; # 过 期 时 间 


4.4 DHCP 服务 器 的 配置 


4.4.1 DHCP 服务 器 配置 步骤 
一 般 情 况 下 ，DHCP 服务 器 的 配置 步骤 如 下 : 
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(1) 创建 DHCP 服务 器 主 配置 文件 ， 可 从 /usr/share/doc/dhcp*/dhcpd.conf.sample 模板 
文件 中 复制 。 

(2) 修改 /etc/dhcpd.conf 主 配置 文件 内 容 。 

(3) 配置 DHCP 网 卡 启 动 接 口 ， 修 改 /etc/sysconfig/dhcpd 配置 文件 。 

(4) 根据 DHCP 主 配置 文件 的 subnet 网 络 号 ,设置 网 卡 的 人 地 址 。( 如 网 卡 卫 地 址 与 
subnet 网 络 号 一 致 ， 可 省 略 此 步骤 ) 

(5) 启动 DHCP 服务 ， 并 检测 是 否 成 功 启动 。 

(6) 检查 Linux 防火 墙 与 SELinux 是 否 阻止 了 DHCP 对 外 提供 服务 。 

(7) 使 用 DHCP 客户 端 进行 测试 。 


4.4.2 主 配 置 文件 的 作用 域 


dhcpd.conf 配置 文件 比较 简单 ， 一 般 由 全 局 参数 设置 、 全 局 选项 设置 和 子 网 作用 域 设 
置 三 部 分 组 成 ， 具 体格 式 如 下 所 示 : 


全 局 参数 设置 ; 
全 局 选项 设置 ; 
子 网 1 作用 域 定义 { 
子 网 选项 配置 ; 
保留 主机 配置 { 
保留 主机 相关 选项 配置 
} 


子 网 2 作用 域 定义 { 
子 网 选项 配置 ; 
} 


全 局 参数 和 全 局 选项 对 所 有 的 子 网 作用 域 有 效 。 当 全 局 选项 与 子 网 选项 发 生 冲 突 时 ， 
以 子 网 选项 为 准 。 保 留 主机 配置 可 以 放 在 子 网 作用 域 里 面 ， 也 可 以 放 在 子 网 作用 域外 面 ， 
根据 具体 操作 环境 而 定 。 


4.4.3 ”DHCP 服务 器 简单 配置 案例 


下 面 就 配置 模板 中 的 dhcpd.conf sample 进行 详细 介绍 。/etc/dhcpd.conf 文件 的 内 容 
如 下 : 


ddns-update-style interim; 
# 配 置 dhcp-dns 互动 更 新 模式 
ignore client-updates; 


# 忽 略 客户 端的 更 新 
subnet 192.168.0.0 netmask 255.255.255.0 { 


# 定 义 一 个 192 .168 .0.0/24 的 子 网 ， 其 中 192 .168 .0.0 为 网 络 号 ，255 .255 .255 .0 为 子 网 掩 码 
# --- default gateway 


option routers 192.168.0.1; 
# 设 置 客户 端 网 关 为 192 .168.0.1 
option subnet-mask 255.255.2535.0; 


# 设 置 客户 端子 网 掩 码 为 255 .255.255.0 


option nis-domain "domain.org"; 
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# 设 置 客户 端 网 络 信息 服务 器 域名 为 domain .org 
option domain-name "domain.org"; 
# 设 置 客户 端 域名 为 domain .org 
option domain-name-servers L925.160:1a:18 
# 设 置 客户 端 域名 服务 器 IP 地 址 为 192.168.1.1 
option time-offset -18000; # Eastern Standard Time 
# 设 置 客户 端 时 间 与 格林 尼 治 时 间 的 偏 移 时 间 为 -18000 秒 
# option ntp-servers 192.160. .1 
# 设 置 客户 端 网 络 时 间 服 务 器 IP 地 址 
# option netbios-name-servers 192.169,.1. 1 
# 设 置 客户 端 WwINS 服务 器 IP 地 址 
# --- Selects point-to-point node (default is hybrid). Don't change this unless 
# -- you understand Netbios very well 
# option netbios-node-type 2; 
# 设 置 WINS 服务 器 的 节点 类 型 为 2 
range dynamic-bootp 192.168.0.128 192.168.0.254; 
# 设 置 本 子 网 中 客户 端 可 用 地 址 池 范 围 从 192.168.0.128-192.168.0.254 
default-lease-time 21600; 
# 设 置 客 户 端 默认 租约 时 间 为 21600 秒 
max-lease-time 43200; 
# 设 置 客 户 端 最 大 租约 时 间 为 43200 秒 
# we want the nameserver to appear at a fixed address 
host ns { 
# 设 置 保留 主机 的 主机 名 
next-server marvin.redhat .com; 
# 设 置 无 盘 启 动 服 务 器 的 域名 ， 如 果 不 配置 网 络 安装 服务 器 或 无 盘 工 作 站 可 删除 此 行 
hardware ethernet 12:34:56:78:AB:CD; 
# 设 置 保留 主机 的 网 卡 MAC 地 址 
fixed-address 207.175.42.254; 
# 设 置 保留 主机 的 固定 IP 地 址 
} 
# 保 留 主机 配置 符 结束 
} 
# 子 网 配置 结束 


4.4.4 ”DHCP 服务 器 的 运行 步骤 


主 配置 文件 核对 无 误 后 ， 在 运行 DHCP 服务 前 还 需要 进行 以 下 操作 : 
(1) 修改 网 卡 启动 文件 /etc/sysconfig/dhcpd， 设 置 DHCPDARGS=eth0。 
(2) 修改 本 机 他 地 址 为 192.168.0.1/255.255.255.0。 

(3) 启动 DHCP 服务 : 


# service dhcpd start 


4.5 ”DHCP 客户 端 配置 


4.5.1 在 Linux 下 通过 命令 行 配置 DHCP 客户 端 


在 Linux 下 配置 DHCP 客户 端 应 首先 确认 操作 系统 能 够 正确 识别 网 卡 。 通 常 网 卡 被 系 
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统 正确 识别 后 ， 会 自动 在 /etc/sysconfig/network-scripts 目录 中 为 网 卡 创建 “ifefg-eth? ” 
的 网 卡 配置 文件 。eth? 是 网 络 设备 的 名 称 ， 如 eth0、ethl 分 别 代 表 了 系统 中 的 第 一 块 和 
第 二 块 网 卡 。 

如 果 要 求 该 网 卡 在 主机 启动 时 能 够 使 用 DHCP 客户 端 获得 网 络 配置 参数 ， 网 卡 配置 
文件 中 应 至 少 包 含 以 下 配置 内 容 : 


#more /etc/sysconfig/network*s/ifcfg-eth0 
DEVICE=eth0 

BOOTPROTO=dhcp 

ONBOOT=yes 


其 中 DEVICE=eth0 指定 了 网 卡 的 名 称 ; BOOTPROTO=dhcp 表示 网 卡 启 动 时 利用 DHCP 
自动 获得 地 址 ;， ONBOOT=yes 表示 开机 自动 启动 网 卡 。 

在 CentOS 5 中 ，DHCP 客户 端 是 通过 dhclient-3.0.5-29.el5_7.1 软件 包 实现 的 ， 通 过 配 
置 dhclient.conf 可 以 实现 动态 DNS、 别 名 等 DHCP 客户 端 功 能 。 具 体 配置 可 使 用 man 
dhclient.conf 命令 查看 手册 。 同 时 在 客户 端 ， 我 们 可 以 在 终端 提示 符 下 使 用 dhclient 命令 
获取 下 地 址 ， 如 下 所 示 ; 


# dhclient -r / /释放 客 户 端 已 经 获取 的 IP 地 址 
Internet Systems Consortium DHCP Client V3.0.5-RedHat 
Copyright 2004-2006 Internet Systems Consortium. 

All rights reserved. 

For info, please visit http://www.isc.org/sw/dhcp/ 


Listening on LPF/eth0/00:0c:29:5f:2f:58 

Sending on LPF/eth0/00:0c:29:5f:2f:58 

Sending on Socket/fallback 

DHCPRELEASE on eth0 to 192.168.0.1 port 67 (xid=0xlca98ff5) 


# dhclient // 通 过 dhclient 获取 DHCP 服务 IP 地 址 
Internet Systems Consortium DHCP Client V3.0.5-Red Hat 
Copyright 2004-2006 Internet Systems Consortium. 

All rights reserved. 

For info, please visit http://www.isc.org/sw/dhcp/ 


Listening on LPF/eth0/00:0c:29:5f:2f:58 

Sending on LPF/eth0/00:0c:29:5f:2f:58 

Sending on Socket/fallback 

DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 3 
(xid=0x542d8ece) 

DHCPOFFER from 192.168.0.1 

DHCPREQUEST on eth0 to 255.255.255.255 port 67 (xid=0x542d8ece) 
DHCPACK from 192.168.0.1 (xid=0x542d8ece) 

bound to 192.168.0.252 -- renewal in 9038 seconds. 


在 上 面 的 命令 行 中 ， 我 们 首先 使 用 dhclient -r 命令 释放 了 DHCP 客户 端 已 经 获得 的 全 
地 址 ， 然 后 通过 dhclient 命令 重新 从 DHCP 服务 器 获得 了 卫 地 址 等 网 络 配 置信 息 。 
条 注意 : ”通过 dhclient 命令 我 们 可 以 详细 的 看 到 DHCP 客户 端 与 服务 器 通信 的 过 程 ， 
此 过 程 与 我 们 在 4.1.3 中 所 讲 到 的 DHCP 工作 流程 的 4 个 过 程 阶段 是 完全 一 
致 的 。 
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4.5.2 DHCP 客户 端 图 形 界面 配置 


在 CentOS 5 图 形 界 面 下 ， 可 以 通过 以 下 步骤 设置 DHCP 客户 端 。 

(1) 在 GNOME 图 形 界 面 下 选择 “系统 ”一 “管理 ”一 “网 络 ”命令 ， 打 开 如 图 4-4 
所 示 的 “网 络 配置 ”对 话 框 。 可 以 看 到 列 出 了 设备 名 为 eth0 的 以 太 网 卡 设备 。 

(2) 双击 eth0 以 太 网 卡 设备 ， 或 者 选中 eth0 网 卡 设备 单 击 “编辑 ”按钮 ， 出 现 图 4-5 
所 示 的 “以 太 网 设备 ”配置 对 话 框 。 


EE: 以 太 网 设 苗 El 
[a [mth [GD 
az: [ED 
| 当 守 可 机 B78| 基 滞 设 入) 
图 网 络 配 置 em | 口 元 许 所 和 用户 局 用 和 荣 用 该 设 大 人 
| HD MD WD | 口 出 甩 Pv6 本 轩 
| J 加 攻取 P 地址 刘 四 忆 用 :ahcp | 
| 贡生。 取笑 ohcp 刘 和 
区 前] 理 件 名 | IPsec DNS | 主机 3 世人 寺 Xe); [ 
EN ts i 
| 辐 3 个 入 坟 和 。 a 
本义 4 起。 设 首 。 别名 考 
|DsewumF 加 
|Gssmue 站 
| [ETTENEL 
[rs | MN | Gt | 
4-4 CentOS 5 下 的 “网 络 配置 ”对 话 框 图 4-5 “以 太 网 设备 ”配置 对 话 框 


(3) 选中 “ 当 计 算 机 启动 时 激活 设备 ” 复 选 框 和 “自动 获取 人 P 地 址 设置 使 用 dhcp” 
单 选 按钮 。 


(4) 单 击 “ 确 定 ”按钮 ， 并 在 随后 的 对 话 框 中 确认 保存 并 重新 启动 网 络 。 


姓 注 意 : ”通过 上 述 图 形 界面 的 操作 实际 上 也 是 改变 了 /etc/sysconfig/network- 
scripts/ifcfg-eth0 的 网 卡 配置 文件 。 


4.5.3 ”Windows 下 设置 DHCP 客户 端 


在 Windows 系统 下 ，DHCP 的 客户 端 配置 是 比较 简单 的 。 下 面 以 Windows 7 系统 为 
例 进行 介绍 。 


(1) 选择 “开始 ”一 “控制 面板 ”一 “网 络 和 共享 中 心 ”， 打 开 图 4-6 所 示 的 “网 络 
和 共享 中 心 ”窗口 。 

(2) 单 击 需 要 配置 DHCP 的 网 卡 所 对 应 的 本 地 连接 ， 打 开 如 图 4-7 所 示 的 “本 地 连接 

(3) 双击 “Intemet 协议 版 本 4(TCP/IPv4)”， 打 开 人 P 地 址 配置 对 话 框 ， 如 图 4-8 所 示 。 

(4) 在 如 图 4-8 所 示 的 “常规 ”选项 卡 中 选中 “自动 获得 全 地 址 ”和 “自动 获得 DNS 
服务 器 地 址 ” 单 选 按钮 。 

(5) 单 击 “ 确 定 ” 按 钮 ， 即 可 开启 Windows 的 DHCP 客户 端 功能 。 
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4-6 Windows 7 的 “网 络 和 共享 中 心 ” 窗 口 
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恕 果 周旋 赤 持 此 功能 ， 则 可 以 看 隘 自 动 模 语 的 IF 讼 加 -否则 ,你 二 
各 由 TIP 时 5 


此 连接 保 用 下 3 省 目 (0) 

回忆 Qcs 娄 提 也 计 划 程序 

强 轧 LLcrosoft 网 络 的 文件 和 打印 机 共 训 
Ep + 协议 卫 本 6 CTCP/1PvS) 
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图 4-7 Windows 7 的 “本 地 连接 属性 ”对 话 框 ”图 4-8 “Intemet 协 议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 


4.5.4 Windows 下 DHCP 客户 端 命令 

在 Windows 下 客户 端 可 使 用 ipconfig 命令 对 DHCP 情况 进行 查看 。 在 Windows 下 的 
DOS 提示 符 下 可 以 执行 以 下 操作 。 

1. 查看 已 经 分 配 到 的 IP 地 址 信息 


ipconfig /all 


部 分 运行 结果 如 下 所 示 : 
以 太 网 适配器 本 地 连接 : 


连接 特定 的 DNS 后 缀 . 
描述 . . . . 


: domain.org 
: Realtek RIL8139/810x Family Fast Ethernet 
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NIC 

特惠 弛 进 00-01-03-38-16-88 

ieee 电 六 用 人 是 

自动 配置 已 启用 . . . - - - : - -= 是 

本 地 链接 IPv6 地 址 . . . . . . . . : fe80::9444:d929:4b9b:f659%12 (首选 ) 

B04 扩 寺 0 

了 网 持 汐 55.0 

获得 租约 的 时 间 . . . ......: 2012 年 3 月 19 日 21:09:26 

租约 过 期 的 时 间 . . . . . . . . . : 2012 年 3 月 20 日 3:09:25 

秩 记 网关 二 192.168.0.1 

DEC 习 务 尖 

DHCPV6 IAID . . 。. ...... . : 251658499 

DHCPV6 客户 端 DUID . . . . . . . :00-01-00-01-16-28-5C-B9-00-01-03- 
38-16-88 


以 上 结果 说 明 该 Windows 操作 系统 于 2012 年 3 月 19 日 21:09:26 自卫 地 址 为 
192.168.0.1 的 DHCP 服务 器 获得 IP 地 址 192.168.0.251。 租 约 过 期 时 间 为 2012 年 3 月 20 
日 3:09:25。 


2. 更 新 当前 IP 地 址 信息 


ipconfig /renew 
ipconfig /all 


部 分 运行 结果 如 下 所 示 : 
> ipconfig /renew 


Windows IP 配置 
以 太 网 适配器 本 地 连接 : 


连接 特定 的 DNS 后 缀 . . . . . . . : domain.org 

本 地 链接 IPv6 地 址 . . . . . . . . : fe80::9444:d929:4b9b:f659%12 
BV 并 引 0.251 

耳 网 挤 卫 0 

默认 网 关 . . . .......... :192.168.0.1 


> ipconfig /all 


以 太 网 适配器 本 地 连接 : 


连接 特定 的 DNS 后 缀 . . . . . . . : domain.org 

描述 . . . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet 
NIC 

物理 地 址 . . . . . - . . . . . . . : 00-01-03-38-16-88 

DEC 已 的 败 导 二 入 油 本 人 本 量 

自动 配置 已 启用 . . . . . . . . - . : 是 

本 地 链接 IPv6 地 址 . . . . . . . . : fe80::9444:d929:4b9b:f659%12 (首选 ) 
LBW4 括 往 .0.251( 首 渤 》 

王 网 拖网 5 

获得 租约 的 时 间 . . . ...... :2012 年 3 月 19 日 21:09:26 
租约 过 期 的 时 间 . . . ......: 2012 年 3 月 20 日 3:16:45 

潜 访 网 美和 二 长 症 训 站 本 和 全 讽 交 二 69 计 


Dacp 报 务 器 4 0 
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DHCPV6 IAID . . . . - - . . . - . : 251658499 
DHCPV6 客户 端 DUOID . .... .: 00-01-00-01-16-28-5C-B9-00-01-03-38- 
16-88 


由 以 上 结果 可 知 ， 运 行 过 ipconfig /renew 命令 后 ， 通 过 DHCP 获得 的 卫 地 址 和 获得 
租约 的 时 间 都 没有 变化 ， 而 租约 过 期 的 时 间 变 为 2012 年 3 月 20 日 3:16:45， 即 通过 
ipconfig/renew 命令 成 功 的 延长 了 DHCP 客户 端的 租约 。 


3. 释放 已 经 分 配 到 的 IP 地 址 信息 


ipconfig /release 
ipconfig /all 


部 分 运行 结果 如 下 所 示 : 


>ipconfig /release 


以 太 网 适配器 本 地 连接 : 


>ipconfig /all 


以 太 网 适配器 本 地 连接 : 
连接 特定 的 DNS 后 级 . 家 名 6 攻 放 7 


描述 . . . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Etherne 
NIC 

物理 地 址 . . . . . . . . . . . . . : 00-01-03-38-16-88 

CR 已 户 用 | 和 生生 

自动 配置 已 启用 . . . . . . . . . . :是 

本 地 链接 IPv6 地 址 . . . . . . . . : fe80::9444:d929:4b9b:f659%12 (首选 ) 

自动 配置 IPv4 地 址 . . . . . . . : 169.254.246.89 (首选 ) 

网 重耳 5500 

转 认 网 关 2 2 

DHOPG. TALD, 5 i 251658499 

DHCPV6 客户 端 DUID .......: 00-01-00-01-16-28-5C-B9-00-01-03-38-16-8 

D9 潜入 入 


fecf:0:0:£f£ff::2%E 
fec0:0:0:ffff::3%1 


以 上 运行 结果 说 明 本 地 连接 的 网 络 适配器 已 经 释放 了 刚刚 通过 DHCP 获得 的 
192.168.0.251 的 IP 地 址 配置 信息 。 


4.6 ”DHCP 服务 器 配置 案例 


4.6.1 配置 作用 域 案例 


【 例 4-1】 某 学 校 机 房 需要 配置 一 台 DHCP 服务 器 ， 以 满足 机 房 内 机 器 上 网 需求 。 所 
有 机 器 全 部 采用 DHCP 动态 人 P 地 址 实现 。 其 中 网 关 为 10.16.1.254，DNS 服务 器 域名 为 


116 Linux 网 络 技术 基础 


ns.edu.cn，DNS 服务 器 人 P 地 址 为 10.16.1.1， 分 配 的 地 址 池 为 10.16.1.100-10.16.1.253。 具 
体 实 施 步 骤 如 下 。 
(1) 创建 DHCP 主 配置 文件 ， 直 接 从 模板 中 复制 : 


#copy /usr/share/doc/dhcp*/dhcpd.conf.sample /etc/dhcpd.conf 


(2) 根据 上 述 要 求 ， 修 改 /etc/dhcpd.conf 主 配 置 文件 内 容 ， 修 改 后 内 容 如 下 : 


ddns-update-style interim; 

ignore client-updates; 

subnet 10.16.1.0 netmask 255.255.255.0 { 
# 定义 10.16.1.0/24 子 网 作用 域 


option routers 10.16.1.254; 
# 设 置 网 关 为 10.16.1.254 
option subnet-mask 255255.25502 
# 设 置 子 网 掩 码 为 255 .255 .255.0 
option domain-name "ns .edu.cn"; 
# 设 置 域名 为 ns .edu. cn 
option domain-name-servers 10.16.1.1; 
# 设 置 DNS 服务 器 IP 地 址 为 10.16.1.1 
option time-offset -18000; # Eastern Standard Time 


range dynamic-bootp 10.16.1.100 10.16.1.253; 
# 设 置地 址 池 为 10.16.1.100 到 10.16.1.253 
default-lease-time 21600; 
# 设 置 默 认 租 期 21600 秒 
max-lease-time 43200; 
# 设 置 最 大 租 期 43200 秒 
} 


(3) 配置 DHCP 网 卡 启动 接口 ， 修 改 /etc/sysconfig/dhcpd 配置 文件 ， 修 改 内容 如 下 : 


DHCPDARGS="ethO" 


(4) 配置 DHCP 服务 器 网 卡 地 址 ， 修 改 网 卡 /etc/sysconfig/network-scripts/ifcfg-eth0 配 
置 文件 如 下 : 


DEVICE=eth0 
BOOTPROTO=static 
BROADCAST=10.16.1.255 
IPADDR=10.16.1.1 
NETMASK=255.255.255.0 
NETWORK=10.16.1.0 
ONBOOT=yes 
GATEWAY=10.16.1.254 
TYPE=Ethernet 


(5) 启动 DHCP 服务 : 


# service network restart // 重 新 配置 网 络 

# service dhcpd start // 启 动 DHCP 服务 

# netstat -anup | grep dhcp // 查 看 DHCP 是 否 启动 成 功 ， 若 UDP 67 的 DHCP 端口 

启动 成 功 ， 说 明 DHCP 启动 成 功 。 

(6) 利用 DHCP 客户 端 进行 测试 。 在 Linux 客户 端 输入 dhclient 命令 ， 检 测 DHCP 客 
户 端 是 否 分 配 到 正确 的 网 络 配置 信息 。 


dhclient 
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还 注意 : DHCP 服务 配置 比较 简单 ， 但 要 注意 以 下 几 点 : 
@ 网 卡 瑟 地 址 需要 在 主 配置 文件 定义 的 子 网 作用 域 的 网 段 范围 内 。 
@ 如 果 /var/lib/dhcp/dhcpd.leases 租 期 文件 不 存在 ， 启 动 DHCP 时 也 会 提示 
错误 ， 手 工 建 立 此 文件 即 可 。 
@ 主 配置 文件 中 地 址 池 网 段 应 与 作用 域 网 段 一 致 ， 即 地 址 池 中 的 瑟 地 址 应 
包含 在 作用 域 网 段 中 。 


4.6.2 ”配置 子 网 作用 域 案例 


在 某 些 学 校 ， 各 部 门 的 人 P 地 址 是 严格 分 开 的 ， 各 个 部 门 使 用 不 同 网 段 的 人 P 地 址 。 但 
可 能 各 部 门人 数 又 不 是 很 多 ， 此 时 可 采用 DHCP 服务 器 子 网 作用 域 的 方式 进行 配置 。 为 
了 更 好 地 利用 全 地址， 需要 将 原 有 的 网 段 划 分 成 多 个 子 网 。 

【 例 4-2】 学 校 办 公 室 有 20 台 计 算 机 ， 使 用 笔记 本 电脑 接 入 的 员工 数目 最 多 时 能 达到 

5 人 ， 需 要 配置 一 个 DHCP 服务 器 ， 采 用 192.168.1.0 网 段 。 网 络 管理 员 为 节约 IP 地 址 为 
办 公 室 分 配 了 30 个 全 地 址 。 请 根据 其 实际 情况 为 办 公 室 架设 一 台 DHCP 服务 器 。 

(1) 根据 上 述 需 求 可 以 知道 ， 办 公 室 可 用 的 卫 地址 在 30 个 ， 由 此 可 确定 办 公 室 可 使 用 
的 卫 为 192.168.1.1 一 192.168.1.30。 由 此 可 以 确定 ， 该 网 络 的 子 网 掩 码 为 255.255.255.224， 
网 段 标识 为 192.168.1.0， 广 播 地 址 为 192.168.1.31。 

(2) 修改 主 配置 文件 ， 修 改 后 内 容 如 下 : 


ddns-update-style interim; 
ignore client-updates; 
subnet 192.168.1.0 netmask 255.255.255.224 { 


# 定义 192.168.1.0/24 子 网 作用 域 


option routers 923515601:254s 
# 设 置 网 关 为 192.168.1.254 
option subnet-mask 255-255-2595.0: 
# 设 置 子 网 掩 码 为 255.255.255.0 
option domain-name "ns.edu.cn"; 
# 设 置 域名 为 ns .edu.cn 
option domain-name-servers Eh Th 
# 设 置 DNS 服务 器 IP 地 址 为 10.16.1.1 
option time-offset -18000; # Eastern Standard Time 


range dynamic-bootp 192.168.1.2 192.168.1.30; 
# 设 置地 址 池 为 192.168.1.2 到 192.168.1.30 
default-lease-time 21600; 
# 设 置 默 认 租 期 21600 秒 
max-lease-time 43200; 


# 设 置 最 大 租 期 43200 秒 


(3) 配置 DHCP 服务 器 卫 地 址 ， 修 改 /etc/sysconfig/network-scripts/ifcfg-eth0 配置 文件 
如 下 : 


DEVICE=eth0 
BOOTPROTO=static 
IPADDR=192.168.1.1 
NETMASK=255.255.255.0 
ONBOOT=yes 
GATEWAY=192.168.1.254 
TYPE=Ethernet 
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(4) 配置 DHCP 服务 启动 接口 ， 修 改 /etc/sysconfig/dhcpd 配置 文件 如 下 : 


DHCPDRARGS="eth0m 


(5) 启动 DHCP: 

# service network restart // 重 新 配置 网 络 

# service dhcpd start // 启 动 DHCP 服务 

# netstat -anup | grep dhcp // 查 看 DHCP 是 否 启动 成 功 ， 若 UDP 67 的 DHCP 端口 

启动 成 功 ， 说 明 DHCP 启动 成 功 。 

(6) 利用 DHCP 客户 端 进行 测试 。 在 Linux 客户 端 输入 dhclient 命令 ， 检 测 DHCP 客 
户 端 是 否 分 配 到 正确 的 网 络 配置 信息 。 


dhclient 


4.6.3 配置 多 作用 域 网 络 案例 


DHCP 服务 器 支持 配置 多 作用 域 ， 使 得 DHCP 
服务 器 能 为 多 个 网 络 提供 人 P 地 址 自动 分 配 的 服务 。 

【 例 4-3】 现 学 校 有 两 个 机 房 ， 机 房 1 所 使 用 地 
址 池 为 10.16.1.0/24， 网 关 为 10.16.1.254，DNS 服务 
器 全 地 址 为 10.16.1.1， 域 名 为 nsl.edu.cn。 机 房 1 
中 保留 主机 为 WWW 服务 器 ， 了 下 地 址 为 
10.16.1.100，MAC 地 址 为 11-22-33-44-55-66。 机 
房 2 所 使 用 的 地 址 池 为 10.16.2.0/24， 网 关 为 
10.16.2.254 ，DNS 服务 器 为 10.16.2.1， 域 名 为 
ns2.edu.cn。 现 有 一 台 DHCP 服务 器 以 太 网 eth0 口 与 
机 房 1 网 络 相 连 ， 以 太 网 ethl 口 与 机 房 2 网 络 相 ~ 
连 ， 如 图 4-9 所 示 。 请 配置 这 台 DHCP 服务 器 。 4.9 ”DHCP 多 作用 域 拓扑 结构 

具体 实施 步骤 如 下 。 

(1) 配置 DHCP 服务 器 ， 修 改 主 配置 文件 如 下 : 


ddns-update-style interim; 
ignore client-updates; 
subnet 10.16.1.0 netmask 255.255.255.0 { 


# 定义 机 房 1 的 10.16.1.0/24 子 网 作用 域 


option routers 10.16.1.254; 
# 设 置 网 关 为 10.16.1.254 
option subnet-mask 255.255.255.0; 
# 设 置 子 网 掩 码 为 255 .255.255.0 
option domain-name "nsl.edu.cn"; 
# 设 置 域名 为 nsl .edu.cn 
option domain-name-servers 10.16.1.1s 
# 设 置 DNS 服务 器 IP 地 址 为 10.16.1.1 
option time-offset -18000; # Eastern Standard Time 


range dynamic-bootp 10.16.1.2 10.16.1.253; 


# 设 置地 址 池 为 10.16.1.2 到 10.16.2.253 
default-lease-time 21600; 
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# 设 置 默 认 租 期 21600 秒 


max-lease-time 43200; 
# 设 置 最 大 租 期 43200 秒 
host WWWI{ 
# 设 置 www 主机 
hardware ethernet 11:22:33:44:55:66; 
fixed-address 10.16.1.100; 
# 将 MAC 地 址 为 11:22:33:44:55:66 的 主机 分 配 固定 ip: 10.16.1.100 
} 
} 
subnet 10.16.2.0 netmask 255.255.255.0 { 


# 定义 机 房 2 的 10.16.2.0/24 子 网 作用 域 


option routers 20.6:252547 
# 设 置 网 关 为 10.16.2.254 
option subnet-mask 2005255.200 0 
# 设 置 子 网 掩 码 为 255.255 .255.0 
option domain-name "ns2.edu.cn"; 
# 设 置 域名 为 ns2 .edu.cn 
option domain-name-servers 10.16:2=1: 
# 设 置 DNS 服务 器 IP 地 址 为 10.16.2.1 
option time-offset -18000; # Eastern Standard Time 


range dynamic-bootp 10.16.2.2 10.16.2.253; 
# 设 置地 址 池 为 10.16.2.2 到 10.16.2.253 
default-lease-time 21600; 
# 设 置 默 认 租 期 21600 秒 
max-lease-time 43200; 
# 设 置 最 大 租 期 43200 秒 
} 


(2) 设置 eth0 网 卡 的 全 地址 ， 编 辑 /etc/sysconfig/network-scripts/ifcfg-eth0 修改 如 下 : 


DEVICE=eth0 
BOOTPROTO=static 
IPADDR=10.16.1.1 
NETMASK=255.255.255.0 
ONBOOT=yes 
GATEWAY=10.16.1.254 
TYPE=Ethernet 


(3) 设置 ethl 网 卡 的 卫 地址， 编辑 /etc/sysconfig/network-scripts/ifcfg-ethl 修改 如 下 : 


DEVICE=ethl 
BOOTPROTO=static 
IPADDR=10.16.2.1 
NETMASK=255.255.255.0 
ONBOOT=yes 
GATEWAY=10.16.2.254 
TYPE=Ethernet 


(4) 开启 路 由 转发 功能 ， 使 之 立刻 生效 ， 并 添加 相应 路 由 如 下 : 
# echo "1l" /proc/sys/net/ipv4/ip _ forward 


# sysctl -p 
# route add -host 255.255.255.255 dev eth0 


(5) 设置 DHCP 服务 器 启动 接口 ， 修 改 /etc/sysconfig/dhcpd 配置 文件 如 下 : 


DHCPDARGS="eth0,ethl™" 


120 


Linux 网 络 技术 基础 


(6) 重启 network 服务 ， 重 启 DHCP 服务 : 


# service network restart // 重 新 配置 网 络 

# service dhcpd start // 启 动 DHCP 服务 

# netstat -anup | grep dhcp // 查 看 DHCP 是 否 启 动 成 功 ， 若 UDP 67 的 DHCP 端口 
启动 成 功 ， 说 明 DHCP 启动 成 功 。 


(7) 在 机 房 1 中 www 主机 上 面 测试 DHCP 服务 : 
dhclient 
(8) 在 机 房 1 中 其 他 主机 上 测试 DHCP 服务 : 


dhclient 


(9) 在 机 房 2 中 主机 上 面 测 试 DHCP 服务 : 


dhclient 


4.6.4 配置 保留 主机 与 保留 主机 组 案例 


在 构架 DHCP 服务 器 时 ， 需 要 考虑 为 某 些 特定 的 服务 器 分 配 保留 静态 的 卫 地 址 ， 以 


防止 服务 器 人 P 发 生动 态 更 新 的 情况 发 生 。 例 如 网 络 中 的 文件 服务 器 、 邮 件 服务 器 、DNS 
服务 器 、 主 页 服务 器 等 ， 都 需要 为 其 分 配 一 个 特定 的 保留 地 址 。 


保留 主机 的 基本 语句 如 下 : 


host hostname{ 
# 定 义 保留 主机 的 主机 名 
option 选项 ; 
# 设 置 保留 主机 的 客户 端 选项 ， 如 网 关 、 域 名 、DNS 服务 器 IP 等 
hardware ethernet MAC 地 址 ; 
# 设 置 保留 主机 的 MAC 地 址 
fixed-address IP 地址 ; 
# 设 置 保留 主机 的 IP 地 址 


} 
在 例 4-3 中 ， 我 们 定义 了 一 台 保 留 主机 ， 如 果 网 络 中 存在 多 台 保 留 主 机 ， 可 以 设置 多 


个 与 以 上 语句 类 似 的 内 容 。 


保留 主机 可 以 设置 在 子 网 里 面 ， 成 为 子 网 的 保留 主机 ;也 可 以 设置 在 子 网 外 面 ， 成 为 


一 个 独立 的 保留 主机 组 。 将 同一 类 的 保留 主机 定义 在 一 个 组 中 ， 即 方便 管理 员 管 理 ， 又 方 
便 管理 员 查 阅 。 


保留 主机 组 的 基本 语句 如 下 : 


groupt{ 
host hostnamel{ 
# 定 义 组 中 保留 主机 的 主机 名 
option 选项 ; 
# 定 义 保留 主机 的 客户 端 选项 如 网 关 、DNS 等 
hardware ethernet MAC 地 址 ; 
# 设 置 保留 主机 的 MAC 地 址 
fixed-address IP 地 址 ; 
# 设 置 保留 主机 的 IP 地 址 
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上 
host hostname21{ 


option 选项 ; 
hardware ethernet MAC 地 址 ; 
fixed-address IP 地 址 ; 


} 


【 例 4-4】 在 机 房 1 中 安装 配置 了 多 台 服 务 器 : FTP 服务 器 MAC 地 址 为 
“00:11:22:33:44:55”， 主机 名 为 fp， 卫 地 址 为 10.16.1.2; WWW 服务 器 MAC 地 址 为 
“11:22:33:44:55:66”， 主 机 名 为 www， 卫 地 址 为 10.16.1.1; MAIL 服务 器 MAC 地 址 为 
“22:33:44:55:66:77”， 主 机 名 为 mail， 卫 地 址 为 10.16.1.3。 分 别 设 置 保留 主机 与 保留 主 
机 组 。 

(1) 若 设置 保留 主机 ， 则 /etc/dhcpd.conf 主 配置 文件 中 ， 应 设置 内 容 如 下 : 
host ftpi 
hardware ethernet 00:11:22:33:44:557 


fixed-address 10.16.1.2; 
} 
host www{ 
hardware ethernet 11:22:33:44:55:66; 
fixed-address 10.16.1.1; 


} 
host mailf{ 
hardware ethernet 22:33:44:55:66:77; 
fixed-address 10.16.1.3; 
} 


(2) 若 设 置 保 留 主机 组 ， 则 /etc/dhcpd.conf 主 配 置 文件 中 ， 应 设置 内 容 如 下 : 


group{ 
host ftpt{ 
hardware ethernet 00:11:22:33:44:55; 
fixed-address 10.16.1.2; 
} 
host wwwt{ 


hardware ethernet 11:22:33:44:55:66; 
fixed-address 10.16.1.1; 

} 

host mailf 

hardware ethernet 22:33:44:55:66:77; 
fixed-address 10.16.1.3; 

} 

} 


4.6.5 ”配置 DHCP 中 继 代理 服务 器 


一 般 情 况 下 ，DHCP 请 求 的 广播 包 是 不 能 通过 路 由 器 的 ， 因 为 路 由 器 具有 隔离 广播 的 功 
能 。 如 果 在 两 个 子 网 中 只 构架 一 个 DHCP 服务 器 ，DHCP 服务 器 处 于 局 域 网 1， 局 域 网 2 
的 客户 将 无 法 正常 从 DHCP 服务 器 获取 卫 地址 。 为 了 更 好 地 解决 这 个 问题 ， 需 要 在 局 域 
网 2 中 架设 一 台 DHCP 中 继 代理 服务 器 。 
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【 例 4-5】 机 房 内 有 两 个 网 段 ， 局 域 网 1 的 人 P 地 址 范围 是 192.168.1.0/24， 局 域 网 2 
的 地 址 范围 是 192.168.2.0/24 。 现 局 域 网 1 内 有 一 台 DHCP 服务 器 ，IP 地 址 是 
192.168.1.1， 要 求 在 局 域 网 2 中 假设 一 台 DHCP 中 继 代理 服务 器 。 当 局 域 网 2 中 的 DHCP 
客户 端 需要 发 送 DHCP 请 求 时 ，DHCP 中 继 代 理 在 接收 到 请 求 包 后 以 客户 端的 身份 向 局 域 
网 1 的 DHCP 服务 器 发 起 请 求 ， 并 将 请 求 的 结果 返回 给 DHCP 客户 端 ， 以 协助 完成 
DHCP 客户 端 亿 地 址 的 请 求 ， 如 图 4-10 所 示 。 


| ” 局 域 网 2 192. 168. 2. 0/24 ) 【| 局 域 网 1 192, 168. 1. 0/24 一 曙 


路 由 器 
192.168.1.2 


客户 端 ”客户 端 中 继 代理 服务 器 DHCP 服 务 ”客户 端 。 ”客户 端 
图 4-10 中 继 代 理 服务 器 拓扑 


DHCP 中 继 代理 服务 器 既然 起 到 中 继 代理 的 功能 ， 因 而 就 需要 一 个 静态 的 IP 地 址 ， 
同时 还 需要 知道 DHCP 服务 器 的 人 P 地 址 ， 以 及 通过 哪个 接口 向 DHCP 服务 器 发 送 请 求 。 
假如 局 域 网 2 的 DHCP 中 继 代理 服务 器 的 卫 地 址 是 192.168.2.253， 局 域 网 1 的 DHCP 服 
务 器 全 地 址 为 192.168.1.1， 现 需要 配置 中 继 代理 服务 器 ， 具 体 配置 如 下 : 

(1) 修改 DHCP 中 继 代 理 服 务 器 ， 设 置 DHCP 服务 器 IP 地 址 及 发 送 请 求 的 接口 。 修 
改 DHCP 中 继 代理 配置 文件 /etc/sysconfig/dhcrelay 内 容 如 下 : 


INTERFRACE="eth0" 
DHCPSERVERS="192.168.1.1" 


(2) 开启 路 由 功能 ， 启 动 DHCP 中 继 代 理 服务 : 


# echo "1" /proc/sys/net/ipv4/ip forward 
# sysctl -p 
# route add -host 255.255.255.255 dev eth0 


service dhcrelay start 


(3) 使 用 netstat 检测 端口 是 否 已 经 打开 


netstat -anup | grep dhcrelay 


显示 结果 如 下 : 


udp 0 0 0.0.0.0:67 0.0.0.0:* 3519/dhcrelay 


在 对 DHCP 中 继 代 理 服 务 器 进行 配置 时 ， 需 要 知道 DHCP 服务 器 的 卫 地 址 。DHCP 
中 继 代理 服务 器 之 所 以 开放 67 端口 ， 是 因为 DHCP 客户 端 在 发 送 请 求 时 ， 其 目标 端口 为 
67 号 端口 。 而 DHCP 客户 端 无 法 判断 接收 这 个 请 求 广播 包 的 是 DHCP 服务 器 还 是 DHCP 
中 继 代理 ， 所 以 DHCP 服务 器 的 端口 号 与 中 继 代理 服务 器 的 端口 号 是 一 致 的 。 


狂 注意 : ”除非 使 用 INTERFACES 指令 在 /etc/sysconfig/dhcprelay 文件 中 制定 接口 ， 
DHCP 中 继 代 理 默 认 监 听 所 有 接口 上 的 DHCP 请 求 。 
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4.7 本 章 小 结 


本 章 介绍 了 在 Linux 中 架设 DHCP 服务 器 的 具体 方法 。 首 先 介绍 了 DHCP 的 原理 、 
优点 及 相关 术语 ， 之 后 对 DHCP 服务 器 的 安装 、 运 行 方法 及 常用 的 DHCP 配置 文件 及 选 
项 进行 了 详细 介绍 ; 接着 介绍 了 DHCP 服务 器 与 DHCP 客户 端的 具体 配置 步骤 和 方法 ; 
最 后 用 5 个 案例 具体 详尽 地 说 明了 5 种 不 同类 型 DHCP 服务 器 的 配置 方法 。 

DHCP 是 网 络 中 最 常见 、 最 基本 的 应 用 ， 通 过 本 章 介绍 的 操作 ， 读 者 可 自行 在 Linux 
系统 中 架设 DHCP 服务 器 ， 为 局 域 网 中 的 主机 提供 动态 卫 地 址 服务 。 


4.8 课 后 练习 


1. 填空 题 


(1) DHCP 的 全 称 是 

(2) DHCP 服务 器 的 主要 功能 是 动态 分 配 

(3) DHCP 服务 器 安装 好 后 并 不 是 立即 就 可 以 给 DHCP 客户 端 提 供 服 务 ， 它 必须 经 过 
= 步骤 。 未 经 此 步骤 的 DHCP 服务 器 在 接收 到 DHCP 客户 端 索取 IP 地 址 的 
要 求 时 ， 并 不 会 给 DHCP 客户 端 分 派 全 地 址 。 

(4) 如 果 要 设置 保留 耻 地址 ， 则 必须 把 全 地址 和 客户 端的 进行 绑 定 。 


2. 选择 题 


(1) DHCP 服务 器 能 提供 给 客户 机 ( 。”) 配 置 。 
A.IP 地 址 B. 子 网 掩 码 C. 默认 网 关 D. DNS 服务 器 
(2) DHCP 客户 端的 租约 文件 默认 保存 在 ( 。”) 目 录 下 。 
A. /etc/dhcpd B. /var/log/dhcpd C. arlib/dhcp/ D. /var/lib/dhecpd/ 
(3) DHCP 是 动态 主机 配置 协议 的 简称 ， 其 作用 是 可 以 使 网 络 管理 员 通 过 一 台 服 务 器 
来 管理 一 个 网 络 系统 ， 自 动 地 为 一 个 网 络 中 的 主机 分 配 ( 。””) 地 址 。 


A. 网 络 B. MAC CC TCP 了 1 
(4) 为 保证 在 启动 服务 器 时 自动 启动 DHCP 进程 ， 应 对 ( ”) 文 件 进 行 编辑 。 
A. /etc/re.d/rc.inet2 B. /etc/re.d/re.inetl 
C. /etc/dhcpd.conf D. /etc/re.d/re.S 
(5) 下 列 ( ”) 参 数 用 于 定义 DHCP 服务 地 址 池 。 
A. host B. range C. ignore D. subnet 
(6) DHCP 客户 端 在 广播 耳 租约 请 求 时 使 用 的 端口 (  )。 
A. TCP67 B. TCP 68 C. UDP 67 D. UDP 68 
(7) 以 下 属于 DHCP 租约 文件 的 是 ( 。 )。 
A. /var/lib/dhcpd/ dhcpd.leases B. /var/lib/dhcp/ dhcpd.leases 


C. /usr/lib/dhcpd/ dhcpd.leases D. /etc/lib/dhcp/ dhcpd.leases 
(8) DHCP 服务 器 默认 启动 脚本 ( 。”)。 
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A. dhcpd B. dhcp C. dhclient D. network 
(9) 以 下 属于 广播 消息 的 有 ( ”). 

A. DHCPDISCOVER B. DHCPOFFER 

C. DHCPREQUEST D. DHCPACK 
3. 简 答题 


(1) 简 述 DHCP 的 工作 过 程 。 

(2) 简 述 DHCP 的 优 缺点 。 

(3) 认真 阅读 以 下 说 明 人 信息， 回答 问题 。 

【说 明 】 

在 一 个 基于 TCP/IP 协议 的 网 络 中 ， 每 台 主 机 都 有 一 个 IP 地 址 ， 根 据 获得 人 P 地 址 方 
式 的 不 同 ， 可 以 分 为 静态 卫 和 动态 卫 。 例 如 : 用 宽带 入 网 ， 会 有 一 个 固定 的 了 PP 地址 ， 每 
次 连 入 Intermmet， 你 的 卫 都 一 样 ; 而 用 拨号 上 网 ， 每 次 连 入 Internet 时 都 从 ISP 那里 获得 
一 个 人 P 地 址 且 每 次 获得 的 可 能 都 不 同 ， 这 是 因为 DHCP 服务 器 的 存在 。 在 Linux 中 建立 
DHCP 服务 器 的 配置 文件 是 “dhcpd.conf ”, 每 次 启动 DHCP 服务 器 都 要 读 取 该 文件 。 下 面 
是 一 个 dhcp.conf 文 件 的 实例 : 


default-lease-time 1200; 

max-lease-time 9200; 

option subnet-mask 255.255.255.0; 

option broadcast-address 192.168.1.255; 

option router 192.168.1.254; 

option domain-name-serves 192.168.1.1, 192.168.1.2 
option domain-name “abc.com” 

subnet 192.168.1.0 netmask 255.255.255.0 

{ 

10 range 192.168.1.20 192 .168.1.200; 


mowamwmewn 


} 
12 host fixed{ 
13 option host-name “ fixed.abc.com”; 
14 hardware Ethernet 00:A0:78:8E:9E:AA; 
15 fixed-address 192.168.1.22; 
16 } 
@ 该 DHCP 服务 器 可 分 配 的 人 P 地 址 有 多 少 个 ? 
@ 该 DHCP 服务 器 指定 的 默认 网 关 、 域 名 以 及 指定 的 DNS 服务 器 分 别 是 什么 ? 
@ 该 配置 文件 的 12 一 15 行 实现 什么 配置 功能 ? 
@ Windows 操作 系统 下 通过 什么 命令 可 以 知道 本 地 主机 当前 获得 的 卫 地 址 ? 


1984 年 Sun(Sun Microsystems， 现 已 被 Oracle 收购 ) 公 司 为 了 让 
不 同 计算 机 、 不 同 操作 系统 之 间 可 以 彼此 共享 文件 而 开发 出 NFS。 
由 于 NFS 使 用 起 来 非常 方便 ， 因 此 很 快 得 到 了 大 多 数 的 UNIX/Linux 
系统 的 广泛 支持 ， 并 逐渐 普及 起 来 。 目 前 已 经 成 为 IETE( 国 际 互联 
网 工程 组 ) 制 定 的 RFC1904、RFC1813 和 RFC3010 文件 服务 标准 。 
本 章 将 全 面 地 介绍 NFS 服务 的 安装 、 配 置 、 管 理 和 使 用 。 


126 Linux 网 络 技术 基础 


5.1 NFS 服务 简介 


5.1.1 NFS 概述 


NFS 即 网 络 文 件 系 统 (Network File System)， 是 使 不 同 的 计算 机 之 间 能 通过 网 络 进行 
文件 共享 的 一 种 网 络 协议 ， 主 要 用 于 UNIX/Linux 操作 系统 中 。NFS 可 以 与 很 多 服务 结合 
起 来 一 起 使 用 ， 可 以 提高 服务 的 性 能 、 安 全 性 及 数据 传输 速率 。NFS 服务 还 可 以 满足 多 人 
同时 对 共享 目录 进行 操作 的 需求 ， 能 够 自动 保持 数据 的 一 致 性 。 

NFS 网 络 文件 系统 支持 应 用 程序 在 客户 端 通过 网 络 存 取 位 于 服务 器 磁盘 中 的 数据 。 
NFS 的 基本 原则 是 让 不 同 的 客户 端 及 服务 器 通过 一 组 RPCs 共享 相同 的 文件 系统 ， 它 独立 
于 操作 系统 ， 多 许 不 同 硬件 及 操作 系统 共同 进行 文件 的 共享 。 这 样 的 好 处 就 是 除了 提升 资 
源 的 使 用 效率 ， 还 可 以 大 大 节省 硬盘 的 空间 ， 因 为 每 台 主机 不 需要 将 所 有 的 文件 都 存储 到 
本 地 硬盘 上 ， 同 时 也 可 以 做 到 资源 集中 管理 。 

一 台 NFS 服务 器 就 如 同一 台 文件 服务 器 ， 只 要 将 其 文件 系统 共享 出 来 ，NFS 客户 端 
就 可 以 将 它 挂 载 到 本 地 系统 中 ， 从 而 可 以 像 使 用 本 地 文件 系统 中 的 文件 一 样 使 用 那些 远程 
文件 系统 中 的 文件 。 

NEFS 采用 客户 /服务 器 工作 模式 。 如 图 5-1 所 示 ， 在 NFS 服务 器 上 将 /nfs/public 目录 设 
置 为 输出 目录 ( 即 共享 目录 ) 后 ， 其 他 客户 端 就 可 以 将 这 个 目录 挂 载 到 自己 系统 中 的 某 个 目 
录 下 ， 这 个 目录 可 以 与 服务 器 上 的 输出 目录 和 其 他 客户 机 中 的 目录 不 相同 ， 如 图 中 的 客户 
机 PC1 与 PC2 的 挂 载 目 录 就 不 相同 。 如 果 某 用 户 登 录 到 客户 机 PC1 并 进入 /mnt/share 目 
录 ， 那 么 就 可 以 看 到 NFS 服务 器 内 /nfs/public 目录 下 的 所 有 子 目 录 及 文件 ， 只 要 具有 相应 
的 权限 ， 就 可 以 对 磁盘 或 文件 进行 相应 的 操作 。 


挂 接 目录 


/home/share 


NFS 客 户 机 | PC1 NFS 客 户 机 |PC2 


以 太 网 络 


上 共享 目录 /nfs/public 


NFS 服 务 器 
图 5-1 NFS 服务 器 输出 目录 与 客户 机 挂 载 示意 图 


5.1.2 NFS 的 优势 


NFS 对 于 同一 网 络 中 的 多 个 Linux 用 户 间 共享 目录 很 有 优势 。 例 如 ， 从 事 同一 项 目的 
工程 师 可 以 将 工作 目录 通过 NFS 服务 器 进行 共享 ， 客 户 端 可 将 服务 器 上 的 项 目 工作 目录 
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挂 载 到 本 机 的 某 个 挂 接点 上 。 客 户 端 挂 载 成 功 后 ， 工 程 师 可 以 像 使 用 本 地 硬盘 目录 一 样 使 
用 工作 目录 ， 不 需要 输入 口令 ， 也 不 需要 使 用 特殊 命令 ， 存 取 共 享 文件 十 分 方便 。 

NFS 客户 端 对 于 共享 目录 中 文件 或 内 容 的 修改 将 直接 改变 NFS 服务 器 的 共享 目录 ， 
即 NFS 客户 端 与 服务 器 对 文件 的 共享 是 实时 同步 的 ， 解 决 了 使 用 FTP 服务 器 文件 同步 困 
难 的 问题 。 

通过 将 常用 数据 存储 在 NFS 服务 器 上 ，NFS 可 以 让 网 络 中 服务 器 的 磁盘 空间 得 到 较 
高 的 利用 率 ， 让 本 地 工作 站 使 用 更 少 的 空间 。 另 外 ， 使 用 NFS 还 可 以 实现 共享 移动 介质 
设备 ， 如 DVD-ROM 等 ， 节 省 硬件 投资 。 


5.1.3 NFS 工作 流程 


虽然 NFS 可 以 在 网 络 中 进行 文件 共享 ， 但 NFS 在 设计 时 并 没有 提供 数据 传输 的 功 
能 ， 因 此 ， 它 需 借 助 RPC(Remote Procedure Calls， 远 程 过程 调 用 )。RPC 定义 了 一 种 进程 
间 通 过 网 络 进行 交互 通信 的 机 制 ， 它 允许 客户 端 进程 通过 网 络 向 远程 服务 进程 请 求 服务 ， 
而 不 需要 了 解 服务 器 底层 通信 协议 的 详细 信息 。 

在 一 个 RPC 连接 建立 开始 阶段 ， 客 户 端 建立 过 程 调用 (Procedure Cal)， 将 调用 参数 发 
送 到 远程 服务 器 进程 ， 并 且 等 待 响应 。 当 请 求 到 达 时 ， 服 务 器 通过 客户 端 请 求 的 服务 调用 
指定 的 程序 ， 并 将 结果 返回 客户 端 。 当 RPC 调用 结束 ， 客 户 端 程序 将 继续 进行 余下 的 通 
信 操 作 。 

NFS(vV2、v3) 依 赖 RPC 与 外 部 通信 ， 为 了 保证 NFS 服务 正常 工作 ， 其 需要 在 RPC 注 
册 相 应 的 服务 端口 信息 ， 这 样 客户 端 向 服务 器 的 RPC 提交 访问 某 个 服务 的 请 求 时 ， 服 务 
器 才能 够 正确 作出 响应 。 

注册 NFS 服务 时 ， 需 要 先 开 启 RPC， 才 能 保证 NFS 注册 成 功 。 并 且 如 果 RPC 服务 
重新 启动 ， 其 保存 的 信息 会 丢失 ， 需 要 重新 启动 NFS 服务 进程 ， 以 注册 端口 信息 ， 否 则 
客户 端 将 无 法 访问 NFS 服务 器 。 

使 用 NFS 服务 ， 至 少 需要 启动 以 下 3 个 系统 守护 进程 。 

1) me.nfsd 

它 是 基本 的 NFS 守护 进程 ， 主 要 功能 是 管理 客户 端 是 否 能 够 登入 服务 器 。 

2) Ipc.mountd 

它 是 RPC 安装 守护 进程 ， 主 要 功能 是 管理 NFS 的 文件 系统 。 当 客户 端 顺利 地 通过 
Ipcnfsd 登录 NFS 服务 器 后 ， 在 使 用 NFS 服务 器 所 提供 的 文件 前 ， 还 必须 通过 文件 使 用 
权限 的 验证 ，rpc.mountd 会 读 取 NFS 的 配置 文件 /etc/exports 来 对 比 客户 端的 权限 。 

3) portmap 

portmap 的 主要 功能 是 进行 端口 映射 工作 。 当 客户 端 尝试 连接 并 使 用 RPC 服务 器 提供 
的 服务 (如 NFS 服务 ) 时 ，portmap 会 将 所 管理 的 与 服务 对 应 的 端口 号 提供 给 客户 端 ， 从 而 
使 客户 端 可 以 通过 该 端口 向 服务 器 请 求 服务 。 

值得 注意 的 是 ， 虽 然 portmap 只 用 于 RPC， 但 它 对 NFS 服务 来 说 是 必 不 可 少 的 。 
portmap 没有 运行 ，NFS 客户 端 就 无 法 查找 从 NFS 服务 器 中 共享 的 目录 。 
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5.2 NFS 服务 的 安装 与 运行 


5.2.1 安装 NFS 服务 


目前 几乎 所 有 的 Linux 发 行 版 都 默认 安装 了 NFS 服务 。CentOS 5 中 只 要 按照 默认 配 
置 安装 了 系统 ，NFS 服务 就 已 经 安装 在 系统 中 。 严 格 意义 上 来 说 ，NFS 需要 5 组 RPM 
包 ， 它 们 分 别 是 : 

@ ”setup-*:; 共享 NFS 目录 在 /etc/exports 中 定义 。 
initscripts-*: 包括 引导 过 程 中 装载 网 络 目录 的 基本 脚本 。 
nfs-utils-*: 包括 基本 的 NFS 命令 与 监控 程序 。 
portmap-*: 支持 安全 NFS、RPC 服务 的 连接 。 
quota-*: 网 络 上 共享 的 目录 配额 ， 包 括 rpc.rquotad (这 个 包 不 是 必须 的 )。 
启动 NFS 服务 时 需要 nfs-utils 和 portmap 这 两 个 软件 包 ， 因 此 在 配置 使 用 NFS 之 
可 使 用 下 面 的 命令 来 检查 系统 中 是 否 已 经 安装 了 这 两 个 包 。 


rpm -qa | grep nfs 
rpm -qa | grep portmap 


命令 执行 结果 如 下 所 示 : 


[rooteha01 /]# rpm -qa | grep nfs 
nfs-utils-1.0.9-44.el15 
nfs=ut4le=1ib=1.0.8=76:815 


全 


[rooteha01 /]# rpm -qa | grep portmap 
portmap-4.0-65.2.2.1 


由 上 可 见 ， 系 统 当前 已 经 安装 了 NFS 服务 和 portmap 服务 。 如 果 系 统 尚未 安装 这 两 
项 服务 ， 则 可 将 CentOS 的 安装 盘 放 入 光驱 。 加 载 光驱 后 ， 在 光盘 的 CentOS 目录 下 运行 
如 下 命令 进行 安装 : 


rpm -ivh setup-* initscripts-* nfs-utils-* portmap-* quota-* --force -- 
noscripts 


安装 结果 显示 如 下 : 


[root@localhost CentOS]# rpm -ivh setup-* initscripts-* nfs-utils-—* 
portmap-* quota-* —-force --noscripts 


Preparing... 提 非 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 间 提 划 并 【OO] 
1:setup 非 划 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 左 井 井 井 井 间 间 井 井 井 [ 工 4 至] 
2:nfs-utils-lib 非 非 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 搓 提 提 提 提 提 提 提 提 提 提 提 提 间 提 间 提 井 间 间 并 # ”2.9 各] 
3:initscripts 非 莫非 非 莫 非 提 提 非 莫 提 提 提 失 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 井 井 提 [ ”443 名 ] 
4:nfs-utils-lib-devel 拓 拓 拓 拓 拓 拓 拓 拓 拓 拓 拓 拓 担 拓 提 提 拓 提 拓 提 拓 提 提 提 划 划 划 划 划 划 划 划 划 划 井 井 井 井 [ 57 要] 
5:portmap 排 提 提 间 提 提 划 提 间 提 划 划 基 基 划 划 拓 拓 拓 拓 拓 提 拓 拓 拓 拓 拓 拓 拓 拓 提 拓 提 拓 提 提 提 划 井 井 [ ”7 各 ] 
6:nfs-utils 非 莫非 提 提 非 提 非 提 提 提 提 提 提 提 大 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 井 井 间 [86 条] 
7:quota 提 排 拓 拓 拓 提 提 关 划 提 划 提 划 划 划 基 划 井 拓 拓 提 提 拓 提 拓 提 拓 拓 拓 拓 拓 拓 拓 拓 提 提 提 井 提 井 [1 OO 各] 


可 见 nfs 服务 已 经 成 功 安装 。 在 某 些 CentOS 5 版 本 中 ， 用 户 手 工 安装 nfs 服务 可 能 会 
出 现 脚本 执行 错误 的 情况 ， 因 此 在 使 用 mpm 安装 时 可 加 入 --noscripts 参数 表示 不 执行 脚本 
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内 容 。 如 已 经 安装 了 nfs 需要 强制 安装 ， 可 加 入 --forece 参数 。 
5.2.2 ”启动 NFS 服务 
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在 5.1.3 节 中 讲 到 ，NFS 启动 需要 启动 三 个 守护 进程 ， 分 别 是 portmap、1pc.nfsd、 


tpc.mountd。 下 面 介绍 启动 NFS 服务 方法 。 


1) 启动 portmap 守护 进程 

service portmap start 

显示 结果 如 下 : 

[root@localhost CentOS]# service portmap start 
启动 portmap: 

2) 启动 NFS 服务 


service nfs start 


NFS 启动 脚本 启动 显示 结果 如 下 : 


[root@localhost CentOS]# service nfs start 
启动 NFS 服务 : 

关 掉 NFS 配额 : 

启动 NFS 守护 进程 : 

启动 NES mountd: 


[确定 ] 


[确定 ] 
[确定 ] 
[确定 ] 
[确定 ] 


由 以 上 结果 可 知 ，NFS 已 经 启动 成 功 ，NFS 脚本 自动 启动 rpc.mount 和 rpc.nfsd 两 个 


守护 进程 。 我 们 可 以 通过 查看 进程 来 检测 NFS 是 否 启动 成 功 : 


ps -eaf | grep nfsd 


显示 结果 如 下 所 示 : 


[root@localhost CentOS]# ps -eaf | grep nfsd 
:0 


root 20050 和 将 00:00:00 [nfsd4] 
root 20052 L053 00:00:00 [nfsd] 
root 20053 1 0 11:53 2 00:00:00 [nfsd] 
root 20054 3 和 00:00:00 [nfsd] 
root 20055 1 00:00:00 [nfsd] 
root 20056 h 让 入 < 和 和 :全 00:00:00 [nfsd] 
root 20057 1 0 11553 3 00:00:00 [nfsd] 
root 20058 ph 生字 条 00:00:00 [nfsd] 
root 20059 1 0 L532 00:00:00 [nfsd] 


root 23022 19241 0 13515 pts/1 00:00:00 grep nfsd 


由 上 面 结果 可 知 ，NFS 默认 会 在 后 台 启 动 8 个 守护 进程 ， 当 NFS 检测 到 客户 端 连接 


时 ， 将 由 8 个 进程 中 的 某 个 进程 接管 以 提高 访问 速度 与 效率 。 
5.2.3 停止 NFS 服务 


关闭 NFS 服务 可 以 使 用 如 下 命令 : 


service nfs stop 


显示 结果 如 下 : 


130 Linux 网 络 技术 基础 


[root@localhost CentOS]# service nfs stop 


关闭 NFS mountd: [确定 ] 
关闭 NFS 守护 进程 [确定 ] 
关闭 NFS quotas: [确定 ] 
关闭 NFS 服务 : [确定 ] 


通过 查看 进程 以 确定 NFS 是 否 已 经 停止 使 用 : 
ps -eaf | grep nfsd 


显示 结果 如 下 所 示 : 


[root@localhost CentOS]# ps -eaf | grep nfsd 
root 24451 19241 0 13:37 pts/1 00:00:00 grep nfsd 


说 明 NFS 守护 进程 已 经 停止 。 


透 注意 ; 停止 NFS 服务 时 ， 一 般 portmap 守护 进程 不 必 停止 ， 让 其 在 后 台 运 行 
即 可 . 


5.2.4 设置 NFS 服务 器 开机 自 启动 
在 字符 界面 下 ， 可 以 使 用 如 下 命令 实现 NFS 服务 开机 自 启动 : 


# chkconfig --level 345 portmap on 
# chkconfig --level 345 nfs on 


另外 ， 也 可 以 使 用 ntsysv 命令 这 个 SysV 风格 的 runlevel 配置 工具 来 对 开机 启动 项 进 
行 配置 。 


5.2.5 使 用 图 形 化 方式 设置 NFS 服务 


CentOS 5 的 GNOME 图 形 界面 中 选择 “系统 ”一 “管理 ”一 “服务 器 设置 ”一 “ 服 
务 ”， 打 开 “ 服 务 配 置 ”窗口 ， 如 图 5-2 所 示 。 在 该 窗口 中 选中 nfs 服务 ， 然 后 单 击 “ 开 
始 ”、“ 停 止 ”、“ 重 启 ” 等 按钮 即 可 实现 对 nfs 服务 的 启动 、 停 止 和 重启 操作 。 在 窗口 
中 选中 nfs 复 选 框 ， 还 可 实现 nfs 服务 的 开机 自动 运行 。 


ETETYIEETI TIETTT 


ER ES 


图 5-2 CentOS 5 中 的 “服务 配置 ”窗口 
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5.3 NFS 服务 器 的 配置 


5.3.1 NFS 服务 器 配置 过 程 


NEFS 服务 器 的 配置 过 程 如 下 : 

(1) 编辑 NFS 配置 文件 /etc/exports。 

(2) 重启 portmap 守护 进程 。 

(3) 启动 NFS 服务 ， 并 检测 服务 是 否 启动 成 功 。 
(4) 根据 需要 设置 NFS 服务 开机 自动 运行 。 

(5) 客户 端 挂 载 NFS 服务 器 共享 目录 并 正常 使 用 。 


5.3.2 NFS 配置 文件 


NFS 的 配置 文件 为 /etc/exports。NFS 服务 安装 完成 后 ， 配 置 文件 并 不 存在 ， 需 要 管理 
员 手 工 创建 。 另 外 也 可 以 通过 使 用 system-config-nfs 图 形 化 工具 来 添加 其 配置 信息 。 

在 exports 文件 中 ， 可 以 定义 NFS 系统 的 输出 目录 ( 即 共享 目录 )、 访 问 权限 和 人 允许 访 
问 的 主机 等 参数 。 该 文件 默认 为 空 ， 没 有 配置 输出 任何 共享 目录 ， 这 是 基于 安全 性 的 考 
虑 ， 这 样 即使 系统 启动 NFS 服务 也 不 会 输出 任何 共享 资源 。 

exports 文件 中 每 一 行 提供 了 一 个 共享 目录 的 设置 ， 其 命令 格式 为 : 


<< 输 出 目录 > [客户 端 1 (选项 1， 选 项 2，…) ] [客户 端 2 (选项 1， 选 项 2，…) ] 


其 中 ， 除 输出 目录 是 必 选 参数 外 ， 其 他 参数 都 是 可 选 的。 格式 中 的 输出 目录 和 客户 端 之 
间 、 客 户 端 与 客户 端 之 间 都 使 用 空格 分 隔 ， 但 是 客户 端 和 选项 之 间 不 能 有 空格 。 

输出 目录 是 指 NFS 系统 中 需要 共享 给 客户 端 使 用 的 目录 。 

客户 端 是 指 网 络 中 可 以 访问 这 个 NFS 输出 目录 的 计算 机 。 客 户 端的 指定 非常 灵活 ， 
可 以 是 单个 主机 的 人 P 地 址 或 域名 ， 也 可 以 是 某 个 子 网 或 域 中 的 主机 等 。 客 户 端 常 用 的 指 
定 方式 如 表 5-1 所 示 。 


表 5-1 客户 端 常 用 主机 表示 办 法 


客户 端 说 明 
192.168.0.100 指定 他 地址 的 主机 
192.168.0.0/24( 或 192.168.0.*) 指定 子 网 中 的 所 有 主机 
pel.test.edu.cn 指定 域名 的 主机 
*.test.edu.cn 指定 域 中 的 所 有 主机 


*( 或 缺 省 ) 


选项 用 来 设置 输出 目录 的 访问 权限 、 用 户 映 射 等 。exports 文件 中 的 选项 比较 多 ， 一 
般 可 分 为 以 下 3 类 。 

1) 访问 权限 选项 

用 于 控制 输出 目录 访问 权限 的 选项 。 这 类 选项 只 有 ro 和 rw 两 项 ， 如 表 5-2 所 示 。 


所 有 主机 
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访问 权限 选项 
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表 5-2 访问 权限 选项 


说 明 


设置 输出 目录 只 读 


2) 用 户 映射 


选项 


设置 输出 目录 可 读 写 


在 默认 情况 下 ， 当 客户 端 访问 NFS 服务 器 时 ， 若 远程 访问 的 用 户 是 root 用 户 ， 则 
NFS 服务 器 会 将 它 映 射 成 一 个 本 地 的 匿名 用 户 ( 该 用 户 账 户 为 nfsnobody)， 并 将 它 所 属 的 
用 户 组 也 映射 成 匿名 用 户 组 (该 用 户 组 账户 也 为 nfsnobody)， 这 样 有 助 于 提高 系统 的 安全 
性 。 用 户 映 射 选项 可 对 此 进行 调整 ， 如 表 5-3 所 示 。 


表 5-3 用 户 映射 选项 


用 户 映射 选项 


说 明 


all_squash 


no all squash 
root_squash 


no _root_squash 


将 远程 访问 的 所 有 普通 用 户 及 所 属 用 户 组 都 映射 为 匿名 用 户 或 用 户 组 (一 般 均 为 
nfsnobody) 


不 将 远程 访问 的 所 有 普通 用 


户 及 所 属 用 户 组 都 映射 为 匿名 用 户 或 用 户 组 (默认 设置 ) 


将 root 用 户 及 所 属 用 户 组 都 映射 为 匿名 用 户 或 用 户 组 (默认 设置 ) 
不 将 root 用 户 及 所 属 用 户 组 都 映射 为 匿名 用 户 或 用 户 组 
将 远程 访问 的 所 有 用 户 都 映射 为 匿名 用 户 ， 并 指定 该 匿名 用 户 账户 为 本 地 用 户 账户 


anonuid=xxx 
DD=xxx. 
. 将 远程 访问 的 所 有 用 户 组 都 映射 为 匿名 用 户 组 账户 ， 并 指定 该 匿名 用 户 组 账户 为 本 
人 地 用 户 组 账户 (GID=xxx) 
3) 其 他 选项 
其 他 选项 比较 多 ， 可 用 于 对 输出 目录 进行 更 全 面 的 控制 ， 如 表 5-4 所 示 。 
表 5-4 常用 的 其 他 选项 
其 他 选项 说 明 
secure 限制 客户 端 只 能 从 小 于 1024 的 TCP/IP 端口 连接 NFS 服务 器 (默认 设置 ) 
insecure 允许 客户 端 从 大 于 1024 的 TCP/IP 端口 连接 NFS 服务 器 
将 数据 同步 写 入 内 存 缓冲 区 与 磁盘 中 ， 虽 然 这 样 做 效率 较 低 ， 但 可 以 保证 数据 的 
一 致 性 
async 将 数据 先 保存 在 内 存 缓冲 区 中 ， 必 要 时 才 写 入 磁盘 
检查 是 否 有 相关 的 写 操作 ， 如 果 有 则 将 这 些 写 操作 一 起 执行 ， 这 样 可 提高 效率 ( 默 
wdelay i 
认 设 置 ) 
no_wdelay 车 有 写 操作 则 立即 执行 ， 应 与 sync 配合 使 用 


subtree_check 


no_subtree_check 


若 输 出 目录 是 一 个 子 目 录 


高 效率 


， 则 NFS 服务 器 将 检查 其 父 目录 的 权限 (默认 设置 ) 


即使 输出 目录 是 一 个 子 目录 ，NFS 服务 器 也 不 检查 其 父 目录 的 权限 ， 这 样 做 可 提 
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5.3.3 NFS 配置 文件 示例 
下 面 首 先 给 出 NFS 主 配置 文件 etc/exports 的 一 个 应 用 实例 ， 然 后 对 有 关 设 置 进行 说 明 。 


/nfs/public 192.168.0.0/24(rw,async) * (To) 

/nfs/share 192.168.0.100 (rw, sync) 

/nfs/root *.test.edu.cn(ro,no root squash) 

/nfs/users *.edu.cn(rw,insecure, all_ squash, sync,no wdelay) 

/mnt/cdrom 192.168.0.*(ro) 

1) /nfs/public 192.168.0.0/24(rw.async) *(ro) 

输出 目录 /nfs/public 可 供 子 网 192.168.0.0/24 中 的 所 有 客户 机 进行 读 写 操作 ， 而 其 他 网 
络 中 的 客户 机 只 能 读 取 该 目录 的 内 容 。 

还 有 一 点 需要 注意 : 并 非 用 户 使 用 子 网 192.168.0.0/24 中 的 客户 机 访问 该 共享 目录 时 
就 能 真正 地 写 入 ， 还 要 看 该 目录 对 该 用 户 有 没有 开放 Linux 文件 系统 权限 的 写 入 权限 。 

如 果 该 用 户 是 普通 用 户 ， 那 么 只 有 该 目录 对 该 用 户 开放 了 写 入 权限 ， 该 用 户 才 可 以 在 
该 共享 目录 下 创建 子 目录 及 文件 ， 且 新 建 子 目录 及 文件 的 所 有 者 就 是 该 用 户 (实际 上 应 该 
是 该 用 户 的 UID)。 

如 果 该 用 户 是 root 用 户 ， 由 于 默认 选项 中 有 root_squash，root 用 户 会 被 映射 为 
nfsnobody， 因 此 只 有 该 共享 目录 对 nfsnobody 开放 了 写 入 权限 ， 该 用 户 才 能 在 共享 目录 中 
创建 子 目录 及 文件 ， 且 所 有 者 将 变 成 nfsnobody。 

2) /nfs/share 192.168.0.100(rw,sync) 

输出 目录 /nfs/share 只 供 他 地 址 为 192.168.0.100 的 客户 机 进行 读 写 操作 。 

3) /nfs/root *.test.edu.cn(ro,no_root_ squash) 

对 于 输出 目录 /nfs/root，test.edu.cn 域 中 的 所 有 客户 机 都 具有 只 读 权 限 ， 并 且 不 将 root 
用 户 映 射 到 匿名 用 户 。 

4) /nfs/users *.edu.cn(rw,insecure.all squash,sync,no wdelay) 

对 于 输出 目录 /nfs/users 来 说 ，edu.cn 域 中 的 所 有 客户 机 都 具有 可 读 可 写 的 权限 ， 并 且 
将 所 有 用 户 及 所 属 的 用 户 组 都 映射 为 nfsnobody， 数 据 同步 写 入 磁盘 。 如 果 有 写 入 操作 则 
立即 执行 。 

5) /mnt/cdrom 192.168.0.*(ro) 

对 于 输出 目录 /mnt/cdrom 来 说 ， 子 网 192.168.16.0/24 中 的 所 有 客户 机 都 具有 只 读 的 权 
限 。 通 常用 户 可 以 将 光驱 挂 载 到 该 文件 夹 下 ， 实 现 NFS 对 于 光驱 的 共享 。 


5.3.4 “NFS 服务 器 端 工具 


NFS 服务 器 运行 期 间 ， 管 理 员 可 以 使 用 NFS 服务 器 端 工具 检测 服务 器 的 运行 情况 。 
如 NFS 的 运行 状态 、RPC 情况 、NFS 服务 器 输出 的 共享 目录 情况 等 。 
1. nfsstat 命令 


nfsstat 命令 用 于 查看 nfs 的 运行 状态 ， 对 于 调试 NFS 的 运行 有 很 大 帮助 。 通 过 该 命令 
能 够 看 到 NFS 服务 器 和 客户 端的 RPC 状态 ， 同 时 可 以 看 到 NFS 服务 器 和 客户 端的 NFS 


134 Linux 网 络 技术 基础 


文件 更 改 状态 ， 如 更 改 文件 权限 、 创 建文 件 、 创 建 目 录 、 读 文件 、 写 文件 等 。 主 要 参数 
如 下 : 
-Ss 参数 : 显示 服务 器 的 状态 。 
-c 参数 : 显示 客户 端的 状态 。 
卫 参 数 : 显示 服务 器 和 客户 端的 NFS 状态 。 
工 参数 : 仅 显 示 服 务 器 和 客户 端的 RPC 状态 。 
控制 台 下 直接 输入 nfsstat 命令 ， 若 NFS 服务 器 或 客户 端 有 活动 连接 ， 则 显示 结果 如 
下 所 示 : 


# nfsstat 


Server rpc stats: 
calls badcalls badauth badclnt xdrcall 
33 0 0 0 0 


Server nfs v3: 


null getattr setattr lookup access readlink 
6 L9%. 7 22% 0 0% 6 19% 3 9% 0 0 
read write create mkdir symlink mknod 

0 0% 0 0% 2 6% 0 0% 0 0% 0 0% 
remove rmdir rename link readdir readdirplus 
0 0% 0 0% 0 0% 0 0% 0 

fsstat fsinfo pathconf commit 

0 0% 6 19% 0 0% 

Client rpc stats: 

calls retrans authrefrsh 

24 0 0 

Client nfs v3: 

null getattr setattr lookup access readlink 
0 0% 7 30% 0 0% 6 26% 3 3 0% 
read write create mkdir symlink mknod 

0 0% 0 0% 2 8% 0 0% 0 0% 0 0% 
remove rmdir rename link readdir readdirplus 
0 0% 0 0% 0 0% 0 0% 0 0% 1 4% 
fsstat fsinfo pathconf commit 

0 0% 4 17% 0 0% 0 0% 

2. exportfs 命令 


exportfs 命令 用 于 输出 NFS 服务 器 的 所 有 共享 目录 情况 。 包 括 服务 器 共享 了 哪些 目 
录 ， 人 允许 哪些 PP 地 址 访问 等 。Exports 命令 还 能 实现 动态 地 对 NFS 的 配置 文件 /etc/exports 
文件 进行 加 载 ， 使 之 生效 。 主 要 参数 如 下 : 
@ ” -a 参数: 输出 在 /etc/exports 文件 中 设置 的 所 有 共享 目录 。 
@ 工 参数 : 重新 读 取 /etc/exports 文件 中 的 共享 设置 ， 并 使 之 立即 生效 ， 而 无 需 重新 
启动 NFS 服务 。 
参数: 停止 输入 共享 的 某 一 目录 。 
-参数 : 在 输出 目录 时 ， 将 详细 的 信息 显示 出 来 。 单 独 使 用 该 参数 则 显示 
/etc/exports 配置 文件 中 所 有 共享 目录 的 详细 列表 。 
下 面 让 我 们 具体 看 一 下 exportfs 命令 的 使 用 方法 : 
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(1) 输入 exportfs 命令 查看 共享 目录 : 


# exportfs -v 

/nfs/public 

192.168.0.0/24 (rw,async,wdelay, root_ squash,no subtree check, anonuid=6553 
4,anongid=65534) 


(2) 编辑 /etc/exports 文件 ， 并 添加 内 容 如 下 : 


/nfs/share 192.168.0.104 (rw,sync) 

/nfs/root *.test.edu.cn(ro,no root squash) 

/nfs/users *.edu.cn(rw,insecure, all _ squash, sync,no wdelay) 
/mnt/cdrom 192.168.0.*(ro) 


(3) 利用 exportfs 命令 重新 加 载 配 置 文 件 : 


# exportfs -arv 

exporting 192.168.0.0/24:/nfs/public 
exporting 192.168.0.104:/nfs/share 
exporting *.edu.cn:/nfs/users 
exporting 192.168.0.*:/mnt/cdrom 
exporting *.test.edu.cn:/nfs/root 
exporting *:/nfs/public 


(4) 在 本 地 人 P 地 址 为 192.168.0.104 的 服务 器 上 挂 载 /nfs/share 至 /nfs 目录 : 


# mount 192.168.0.104:/nfs/public /home/a 
# mount 192.168.0.104:/nfs/share /mnt 


(5) 使 用 mount 命令 显示 挂 载 情况 : 


# mount 

/dev/mapper/VolGroup00-LogVo100 on / type ext3 (rw) 

proc on /proc type proc (rw) 

Sysfs on /sys type sysfs (rw) 

devpts on /dev/pts type devpts (rw,gid=5,mode=620) 

/dev/sdal on /boot type ext3 (rw) 

tmpfs on /dev/shm type tmpfs (rw) 

none on /proc/sys/fs/binfmt misc type binfmt misc (rw) 

none on /proc/fs/vmblock/mountPoint type vmblock (rw) 

sunrpc on /var/lib/nfs/rpc pipefs type rpc pipefs (rw) 

/dev/hdc on /media/CentOs 5.5 Final type iso9660 

(ro, noexec, nosuid, nodev, uid=0) 

nfsd on /proc/fs/nfsd type nfsd (rw) 

192.168.0.104:/nfs/share on /mnt type nfs (rw,addr=192.168.0.104) 
192.168.0.104:/nfs/public on /home/a type nfs (rw,addr=192.168.0.104) 


由 最 后 两 行 可 知 ， 服 务 器 目录 已 经 成 功 挂 载 至 客户 端的 目录 中 ， 且 具有 了 相应 的 权限 。 
5.4 NFS 客户 端的 配置 
通过 上 述 方法 配置 好 NFS 服务 器 后 ， 需 要 将 NFS 服务 器 上 共享 的 目录 挂 载 到 本 地 来 


使 用 。 此 时 可 以 使 用 mount 命令 挂 载 ， 也 可 以 将 NFS 共享 目录 添加 到 /etc/fstab 配置 文件 
中 ， 计 算 机 每 次 开机 自动 挂 载 。 
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5.4.1 使 用 showmount 查看 NFS 服务 器 共享 目录 


当 客 户 端 用 户 需要 了 解 NFS 服务 器 有 哪些 共享 目录 时 ， 可 以 使 用 showmount 命令 进 
行 查看 。showmount 命令 的 参数 如 下 : 

@ -a: 显示 指定 的 NFS 服务 器 的 所 有 客户 端 主机 及 其 连接 的 目录 。 

e  -e: 导出 指定 的 NFS 服务 器 的 所 有 共享 目录 。 没 有 指定 的 话 将 显示 本 地 NFS 服 

务 器 。 

e@  -d: 显示 指定 NFS 服务 器 上 所 有 输出 的 共享 目录 。 

下 面 我 们 看 一 下 showmount 的 具体 用 法 。 

(1) 显示 卫 地 址 为 192.168.0.104 的 NFS 服务 器 上 所 有 的 共享 目录 : 


# showmount -d 192.168.0.104 


显示 结果 如 下 : 

# showmount -d 192.168.0.104 

Directories on 192.168.0.104: 

/nfs/public 

/nfs/share 

说 明 服 务 器 已 经 共享 /nfs/public/、/nfs/share 目录 。 

(2) 在 客户 端 上 显示 192.168.0.104 服务 器 的 所 有 NFS 客户 端 及 连接 目录 : 


# showmount -a 192.168.0.104 


显示 结果 如 下 : 


# showmount -a 192.168.0.104 

All mount points on 192.168.0.104: 
192.168.0.103:/nfs/public 
192.168.0.104:/nfs/public 
192.168.0.104:/nfs/share 


说 明 192.168.0.104 服务 器 上 共享 了 /nfs/public、/nfs/share 目录 。 同 时 192.168.0.103 已 


经 连接 到 了 服务 器 上 的 /nfs/public 目录 ; 192.168.0.104 已 经 连接 到 /nfs/public、/nfs/share 两 
个 目录 。 


适 注意 :，SELinux 及 Linux 防火 墙 将 使 客户 端 无 法 访问 服务 器 ， 需 要 在 服务 器 端 进行 
如 下 配置 : 


Setsebool -P portmap disable trans=1 
setsebool -P nfs export all rw=1 
Setsebool -P nfs export all ro=1 
setsebool -P use nfs home dirs 1 
service iptables stop 


太太 梓 砷 六 


5.4.2 挂 载 NFS 服务 器 目录 


在 CentOS5 中 挂 载 NFS 服务 器 目录 可 以 通过 使 用 mount 命令 实现 。 命 令 格 式 如 下 : 
mount -t NFS 服务 器 目录 本 地 挂 载 目录 
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目前 ，mount 命令 能 够 直接 对 NFS 进行 支持 ， 所 以 也 可 以 直接 执行 如 下 命令 ， 完 成 
NFS 服务 器 的 挂 载 : 

mount 服务 器 目录 本 地 挂 载 目录 

例如 假设 客户 端 需 要 将 瑟 地 址 为 192.168.0.104 的 NSF 服务 器 上 的 /nfs/share 目录 挂 
载 到 本 地 的 /usr/local/nfs 目录 下 ， 使 用 以 下 命令 : 

首先 创建 /usr/local/nfs 目录 : 


#mkdir /usr/local/nfs 


然后 使 用 mount 命令 挂 载 服务 器 目录 : 

#mount 192.168.0.104:/nfs/share /usr/local/nfs 
命令 执行 完成 ， 即 可 实现 服务 器 目录 的 加 载 。 

如 果 要 逢 载 刚 刚 挂 载 的 NSF 服务 器 目录 ， 执 行 以 下 命令 : 


umount /usr/local/nfs 


5.4.3 ”设置 开机 自动 挂 载 NFS 


在 上 面 的 例子 中 ， 使 用 mount 命令 挂 载 的 NFS 目录 在 重新 启动 计算 机 后 是 不 能 实现 
自动 挂 载 的 。 在 CentOS 5 中 ， 开 机 自动 加 载 文件 系统 是 在 /etc/fstab 中 定义 的 ，NFS 文件 
系统 的 自动 挂 载 也 可 以 在 /etc/fstab 中 进行 设置 。 

首先 使 用 文本 编辑 器 打开 /etc/fstab 文件 ， 执 行 如 下 命令 : 


#vi /etc/fstab 


在 文件 末端 加 入 : 
192.168.0.104:/nfs/share /usr/local/nfs nfs defaults 0 0 
执行 重新 加 载 fstab 文件 中 定义 的 文件 系统 使 之 生效 : 


#mount -a 


通过 上 述 设置 ， 每 次 客户 端 Linux 开机 都 能 实现 对 NSF 服务 器 的 自动 加 载 。 


5.5 ”图 形 界面 配置 NFS 服务 器 


在 Linux 的 X Windows 下 ， 可 以 通过 图 形 界面 的 NFS 的 配置 工具 完成 对 NFS 服务 器 
的 配置 工作 。 图 形 界面 配置 NFS 服务 器 的 软件 包 名 称 为 system-config-nfs-*.rpm。 可 以 采 
用 以 下 步骤 安装 配置 服务 器 。 

(1) 查询 是 否 已 经 安装 ， 若 未 安装 则 安装 system-config-nfs-*.rpm 软件 包 (* 为 该 软件 版 
本 号 ): 


# rpm -qa | grep system-config-nfs 


若 无 输出 ， 则 说 明 软 件 包 没有 安装 。 
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# cd /media/CentOs*/Cent*/ 
# rpm -ivh system-config-nfs-*.rpm 


(2) 配置 NFS 服务 器 。 在 命令 行 输入 system-config-nfs 或 者 在 义 Windows 中 选择 “ 系 
统 ” 一 “管理 ”一 “服务 器 设置 ”一 NFS， 打 开 如 图 5-3 所 示 的 窗口 。 


国 NFS 服务 器 配置 方案 = ox 
文件 旭 ”帮助 四 


% 
添加 服务 器 设置 。 ”末了 


图 5-3 ”服务 器 配置 方案 


(3) 在 NFS 服务 器 配置 管理 方案 界面 中 ， 可 以 对 NFS 资源 进行 添加 、 修 改 、 删 除 ， 
并 可 对 服务 器 端口 参数 进行 设置 。 单 击 “ 添 加 ”按钮 ， 向 服务 器 添加 一 条 ”NFS 共享 资 
源 。 在 打开 的 如 图 5-4 所 示 对 话 框 的 “基本 ”选项 卡 中 ， 在 “目录 ”文本 框 中 输入 需 NFS 
共享 的 目录 ， 在 “主机 ”文本 框 中 输入 允许 哪些 主机 或 者 网 段 访问 NFS 共享 。 

(4) 在 如 图 5-5 所 示 的 界面 中 设置 NFS 共享 目录 的 选项 内 容 。 其 选项 所 对 应 的 配置 文 
件 选项 如 表 5-5 所 示 。 


[ND SF | 
天 本色 | 一 各 项 (@) | 必 户 访问 人 U) | 基本 人 @) | 一 直选 项 (G) | 用 户 访 癌 J) | 
EE 口 抑或 珊 训 关连 接 G| 
口 允 放 避 定 不 安全 的 文件 人 
口 药 用 子 树 检验 人 


回 Sync 与 挨 作 请 求 G) 
口 立即 织 制 sync 写 拘 作 他) 


回 隐 基 文件 系统 () 
口 如 时 共 桂 戴 ， 只 允许 畏 出 (m) 
可 选择 安装 点 fp [ | 浏览 @)。 
讼 村 明确 的 立 件 系统 ID-| ] 
XO | | YWEO) 了 iiC) | | 贸 碧 宪 Q) 
图 5-4 添加 NFS 共享 基本 图 5-5 添加 NFS 共享 一 般 选 项 


表 5-5 一般 选 项 与 配置 文件 选项 对 应 表 


复 选 框 
允许 与 1024 或 更 高 端口 连接 
允许 锁定 不 安全 的 文件 


配置 文件 选项 


insecure 


insecure lock 
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续 表 
复 选 框 配置 文件 选项 
禁用 子 树 校 验 no_subtree_check 
Sync 写 操作 请 求 Sync 
立即 强制 syne 写 操作 no_wdelay 


(5) 在 如 图 5-6 的 用 户 访问 选项 卡 中 设置 NFS 共享 的 用 户 权 限 控制 。 与 配置 文件 选项 
的 对 应 关系 如 表 5-6 所 示 。 
| 天 本 名 | 一 向 洁 页 G)| 用 户 访问 U) 
口 肌 人 要 录用 户 视 为 太 闻 要 忆 录 用 户 名 
口 将 所 由 客户 端 用 户 视 为 匿名 用 户 @) 
医 名 用 户 的 本 地 用 户 ID(W) 
匿名 用 户 的 本 地 组 ID(g) 


XK MAO | | BWEO) | 
5-6 ”添加 NFS 共享 用 户 访问 
表 5-6 用 户 访问 与 配置 文件 选项 对 应 表 


用 户 访问 选项 配置 文件 选项 
将 远程 根 目录 用 户 视 为 本 地 根 目录 用 户 Do_root squash 
将 所 有 客户 端 用 户 视 为 匿名 用 户 all squash 
匿名 用 户 的 本 地 用 户 ID 


anonuid=xxx 


匿名 用 户 的 本 地 组 


anongid=xxx 


5.6 NFS 服务 的 配置 案例 


【 例 5-1】 假设 Linux 服务 器 IP 地 址 为 192.168.0.105。 


通过 NFS 共享 /nfs/tmp 目录 给 192.168.0.0/24 网 段 中 的 所 有 计算 机 ， 权 限 为 可 读 写 。 
共享 /nfs/nfs 目录 给 所 有 计算 机 可 读 权限 。 


共享 /nfs/upload 目录 作为 192.168.0.0/24 网 段 计算 机 的 上 传 目录 ， 其 中 /home/upload 的 
用 户 及 所 属 组 的 名 字 为 nfs-upload，UID 与 GID 均 为 /etc/fstab。 


将 /home/alice 这 个 目录 共享 给 192.168.0.104 这 台 主 机 的 alice 账户 来 使 用 ， 也 就 是 说 


alice 在 192.168.0.104 及 192.168.0.105 均 有 账号 ， 且 账号 均 为 alice， 所 以 开发 home/alice 
目录 给 alice 使 用 它 的 默认 目录 。 


下 面 将 按照 上 述 要 求 完 成 NFS 服务 器 的 搭建 。 
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5.6.1 服务 器 配置 
(1) NFS 修改 本 机 卫 地址: 


# ifconfig eth0 192.168.0.105 


(2) 配置 /etc/exports 配置 文件 ， 修 改 内 容 如 下 : 


# vi /etc/exports 


/nfs/tmp 192.168.0.*(rw,async) 

/nfs/nfs *(ro,all squash) 

/nfs/upload 192.168.0.*(rw,all squash,anonuid=100,anongid=100) 
/home/alice 192.168.0.104 (rw) 


(3) 建立 目录 及 权限 : 


#cd/ 

# mkdir nfs 

# 0d nfs 

# mkdir tmp nfs upload 
# chmod 777 -R tmp 

# chmod 755 -R upload 


# groupadd -g 100 nfs-upload 
# useradd -g 100 -u 100 -M nfs-upload 
# chown -R nfs-upload:nfs-upload /nfs/upload 


(4) 添加 用 户 alice: 


# useradd alice 


(5) 启动 portmap 与 nfs 服务 : 


# service portmap start 


启动 portmap: [确定 ] 
# service nfs start 

启动 NFS 服务 : [确定 ] 

关 掉 NFS 配额 [确定 ] 

启动 NFS 守护 进程 : [确定 ] 

启动 NES mountd: [确定 ] 


(6) 打开 SELinux 并 关闭 防火 墙 : 


Setsebool -P portmap disable trans=1 
Setsebool -P nfs export all rw=1 
Setsebool -P nfs export all r0=1 
Setsebool -P use nfs home dirs 1 
service iptables stop 


和 秆 中 笠 哩 


5.6.2 客户 端 配置 
(1) NFS 修改 本 机 耳 地 址 : 


# ifconfig eth0 192.168.0.104 
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(2) 启动 protmap 服务 : 


# service portmap start 


(3) 创建 alice 用 户 


useradd alice 


(4) 查询 服务 器 上 的 挂 载 点 : 


# showmount -e 192.168.0.105 
Export list for 192.168.0.105: 
/nfs/nfs 大 

/nfs/tmp 192.168.0.* 
/nfs/upload 192.168.0.* 
/home/alice 192.168.0.104 


(5) 建立 挂 载 点 目录 : 


# mkdir /mnt/tmp /mnt/nfs /mnt/upload /mnt/alice 


(6) 挂 载 NFS 服务 目录 : 


# mount 192.168.0.105:/nfs/tmp /mnt/tmp 

[root@bogon mnt]# mount 192.168.0.105:/nfs/nfs /mnt/nfs 
[root@bogon mnt]# mount 192.168.0.105:/nfs/upload /mnt/upload 
[root@bogon mnt]# mount 192.168.0.105:/home/alice /mnt/alice 


至 此 ， 本 案例 配置 完成 。 


5.6.3 ”客户 端 测试 
(1) 使 用 root 用 户 登录 客户 端 ， 查 看 NFS 挂 载 情况 ， 显 示 结 果 如 下 所 示 : 


# mount 

/dev/mapper/VolGroup00-LogVo100 on / type ext3 (rw) 

proc on /proc type proc (rw) 

Sysfs on /sys type sysfs (rw) 

devpts on /dev/pts type devpts (rw,gid=5,mode=620) 

/dev/sdal on /boot type ext3 (rw) 

tmpfs on /dev/shm type tmpfs (rw) 

none on /proc/sys/fs/binfmt misc type binfmt misc (rw) 

none on /proc/fs/vmblock/mountPoint type vmblock (rw) 

sunrpc on /var/lib/nfs/rpc pipefs type rpc pipefs (rw) 

/dev/hdc on /media/CentoOs 5.5 Final type iso9660 

(ro, noexec, nosuid, nodev, uid=0) 

192.168.0.105:/nfs/tmp on /mnt/tmp type nfs (rw,addr=192.168.0.105) 
192.168.0.105:/nfs/nfs on /mnt/nfs type nfs (rw,addr=192.168.0.105) 
192.168.0.105:/nfs/upload on /mnt/upload type nfs (rw,addr=192.168.0.105) 
192.168.0.105:/home/alice on /mnt/alice type nfs (rw,addr=192.168.0.105) 


(2) 测试 /mnt/tmp 及 /mnt/upload 目录 是 否 可 写 : 


# touch /mnt/tmp/1.txt 
# touch /mnt/upload/1.txt 


执行 上 述 命令 没有 提示 错误 ， 说 明 /mnt/tmp 及 /mnt/upload 两 个 目录 加 载 正常 ， 具 有 可 
写 权 限 。 
G) 测试 /nfs 是 否 为 可 读 权限 : 
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# touch /mnt/nfs/1.txt 
touch: 无 法 触 碰 “/mnt/nfs/1.txt”: 只 读 文件 系统 


(4) 测试 /mnt/alice 目录 root 用 户 是 否 具有 权限 : 


# cd /mnt/alice 
bash: cd: /mnt/alice: 权限 不 够 


由 此 可 知 ，root 用 户 没 有 alice 目录 的 相应 权限 ， 切 换 用 户 至 alice， 再 次 测试 : 


# su alice 

$ cd /mnt/alice 
$ touch a.txt 
将 


EW ==—== 3 alice alice 4096 03-29 04:05 alice 
drwxr-xr-x 2 root root 4096 03-29 02:23 nfs 
Grwxrwxrwx 2 root root 4096 03-29 03:39 tmp 
drwxr-xr-x 2 100 100 4096 03-29 03:39 upload 


由 上 述 命令 可 知 ，alice 用 户 可 以 对 /mnt/alice 目录 进行 读 写 。 但 必须 注意 的 是 ， 若 要 


实现 上 述 功能 ， 服 务 器 的 alice 用 户 必须 与 客户 端的 alice 用 户 必须 有 相同 的 UID 与 组 
GID; 如 不 相同 ， 用 usermod 命令 修改 一 致 即 可 。 


I 


注意 : ”如 果 客户 端 无 法 挂 载 NFS， 应 从 以 下 几 个 方面 排查 原因 : 
@ 用 户 或 客户 端 身份 权限 不 符 。 
@ 服务 器 或 客户 端 portmap 服务 没有 启动 。 
@ 被 SELinux 或 者 防火 墙 拦截 。 


5.7 本 章 小 结 


NFS 是 分 布 式 计算 机 系统 的 一 个 组 成 部 分 ， 可 实现 在 异 构 网 络 上 共享 和 装配 远程 文件 


系统 。 本 章 首先 介绍 了 NFS 服务 器 的 工作 原理 ， 之 后 介绍 了 安装 运行 NFS 服务 器 的 方法 
以 及 NFS 服务 器 与 客户 端 具体 的 配置 步骤 ， 同 时 本 章 也 介绍 了 图 形 化 配置 NFS 服务 器 的 
方法 与 过 程 ， 最 后 用 一 个 配置 案例 来 总 结 NFS 服务 器 、 客 户 端 的 配置 方法 ， 方 便 读者 自 
行 学 习 和 研究 NFS 服务 器 。 


5.8 课 后 练习 


1. 填空 题 


(1) NFS 是 英文 的 简称 ， 请 中 文 含义 是 
(2) NES 服务 的 三 个 守护 进程 分 别 是 : 
(3) NFS 主要 用 于 和 操作 系统 共享 文件 时 使 用 。 

(4) 显示 192.168.1.103 服务 器 上 所 有 的 客户 端 主机 及 连接 目录 应 该 使 用 


命令 . 
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(5) 设置 NFS 服务 在 级 别 345 时 开机 自 启动 的 两 个 命令 是 和 


2. 选择 题 
(1) 在 bash 中 ，export 命令 的 作用 是 (  )。 
A. 在 子 shell 中 运行 条 命令 
B. 使 在 子 shell 中 可 以 使 用 命令 历史 记录 
C. 为 其 他 应 用 程序 设置 环境 变量 
D. 提供 NFS 分 区 给 网 络 中 的 其 他 系统 使 用 
(2) 下 面 (  ) 文 件 包 含 了 供 NFS daemon 使 用 的 目录 列表 。 
A. /etc/nfs B. /etc/nfs.conf 
C. /etc/exports D. /etc/netdir 
(3) NFS 工作 站 要 mount 远程 NFS 服务 器 上 的 一 个 目录 的 上 时候， 以 下 ( 。”) 是 服务 器 
端 必需 的 。 
.portmap 必须 启动 
.NFS 服务 必须 启动 
.共享 目录 必须 加 装 在 /etc/exports 文件 里 
.以 上 全 部 都 需要 
(4) (  ) 命 令 可 以 完成 加 装 NFS 服务 器 www.edu.cn 的 /home/nfs 共享 目录 到 本 机 
/home2, 


= 


. mount-tnfs www.edu.cn:/home/nfs /home2 
. mount-t—s nfs www.edu.cn./home/nfs /home2 
. nfsmount www.edu.cn:/home/nfs /home2 
. nfsmount -s www.edu.cn/home/nfs /home2 
(5) (  ) 命 令 用 来 查看 NFS 磁盘 资源 被 其 他 系统 使 用 情况 。 
A. share B. mount C. export D. exports 
(6) 以 下 NEFS 系统 中 关于 用 户 ID 映射 正确 的 描述 是 ( )。 
A. 服务 器 上 的 root 用 户 默认 值 和 客户 端的 一 样 
B. root 默认 被 映射 到 nfsnobody 用 户 
C. root 默认 不 被 映射 到 nfsnobody 用 户 
D. 默认 情况 下 ，anomuid 不 需要 密码 。 
(7) 在 你 公司 有 10 台 Linux Server， 你 想 用 NFS 在 Linux Server 之 间 共 享 文件 ， 应 该 
修改 的 文件 是 (  )。 


A. /etc/exports B. /etc/crontab 
C. /etc/named.conf D. /etc/fstab 
(8) 查勘 NFS 服务 器 192.168.0.1 中 共享 目录 的 命令 是 ( 。 )。 
A. show -e 192.168.0.1 B. show /192.168.0.1 
C. showmount—e 192.168.0.1 D. showmount—l] 192.168.0.1 


(9) 装载 NFS 服务 器 192.168.12.1 的 共享 目录 /tmp 到 本 地 目录 /mnt/share 的 命令 是 
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. mount 192.168.12.1/tmp /mnt/share 

. mount-—tnfs 192.168.12.1/tmp /mnt/share 

. mount-tnfs 192.168.12.1:/tmp /mnt/share 
D.mount -tnfs /192.168.12.1/tmp /mnt/share 

(10) 需要 在 NFS 客户 端 设 置 共 享 目录 开机 自 启动 ， 应 修改 ( 


Nm 


A. /etc/exports B. /etc/fstab 
C. /etc/exports.conf D. /etc/fstab.conf 
3. 简 答题 


(1) 什么 是 NFS? 挂 载 NFS 的 方法 是 什么 ? 
(2) 简 述 NFS 三 个 守护 进程 的 作用 。 


) 配 置 文件 。 


域名 服务 (DNS) 是 网 络 中 最 重要 的 网 络 服务 之 一 ， 它 是 一 个 分 布 
式 数据 库 组 织 成 域 层 次 结构 的 计算 机 和 网 络 服务 命名 系统 。DNS 服 
务 可 以 方便 地 让 难以 记忆 的 人 P 地 址 取代 为 便于 人 们 记忆 的 域名 ， 从 
而 使 人 们 能 用 简单 好 记 的 域名 来 代替 卫 地 址 访问 网 络 。 本 章 将 详细 
介绍 DNS 服务 的 基本 概念 、 工 作 原 理 、 服 务 器 架设 及 使 用 方法 。 
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6.1 DNS 服务 概述 


DNS(Domain Name Server， 域 名 服务 器 ) 是 为 了 让 用 户 方便 访问 Intemet 而 采用 的 一 种 
分 布 式 域名 与 人 P 地 址 之 间 的 映射 、 查 询 和 管理 的 方法 。 在 现 有 的 Intemet 网 络 结构 中 ， 计 
算 机 之 间 的 通信 只 能 通过 其 唯一 标识 人 P 地 址 才能 进行 。 但 是 PP 地 址 难以 记忆 ， 所 以 就 采 
用 “域名 ”的 方式 代替 这 些 数字 。 不 过 最 终 还 是 必须 有 一 种 机 制 将 域名 转换 成 对 应 的 全 
地 址 才能 访问 主机 ， 因 此 需要 一 种 将 主机 转换 为 人 P 地 址 的 机 制 。 


6.1.1 域名 的 解析 方法 


早期 域名 与 人 P 地 址 的 对 应 关系 表 是 记录 在 每 台 计算 机 中 的 hosts 文件 中 ， 当 网 络 内 计 
算 机 数目 不 多 时 ，hosts 文件 通过 定期 更 新 可 以 满足 计算 机 通信 要 求 。 但 是 当 网 络 规模 逐 
渐 扩 大 ， 计 算 机 数目 呈现 出 指数 增长 的 趋势 ， 使 用 hosts 文件 记录 域名 与 瑟 地 址 映射 的 方 
式 变 得 难以 维持 ， 所 以 逐渐 发 展 出 了 DNS 服务 器 。 


1. hosts 表 


hosts 表 是 一 个 简单 的 文本 文件 ， 记 录 了 主机 名 与 P 地 址 的 映射 关系 ， 计 算 机 通过 在 
该 文件 中 搜索 相应 的 条 目 来 匹配 主机 名 和 卫 地 址 。 在 Linux 操作 系统 中 ，hosts 文件 位 于 
/etc/hosts; 在 Windows 操作 系统 中 ，hosts 文件 位 于 C:\Windows\System32\drivers\ 
etc\hosts。hosts 文件 中 每 一 行 就 是 一 个 条 目 ， 包 含 一 个 人 P 地 址 与 该 PP 地 址 相关 联 的 主机 
名 称 (域名 )。 网 络 中 加 入 、 删 除 或 者 重 命 名 主机 后 ， 计 算 机 管理 员 都 要 对 hosts 文件 进行 
更 新 以 便 计算 机 能 通过 域名 与 其 他 计算 机 进行 通信 。 

20 世纪 90 年 代 之 后 ，Intemet 网 络 中 计算 机 数量 爆炸 式 增长 ， 通 过 一 个 中 心 授权 机 构 
为 所 有 的 Internet 主机 管理 一 个 hosts 文件 变 得 不 再 可 行 。hosts 文件 随 着 主机 数量 的 增多 
而 变 得 庞大 ， 而 将 其 及 时 地 更 新 到 每 一 个 联网 主机 变 得 异常 困难 。 

虽然 hosts 表 不 再 使 用 ， 但 是 大 部 分 操作 系统 都 保留 了 它 的 功能 。 主 机 对 域名 的 解析 
的 时 候 首 先 查询 hosts 表 文 件 中 是 否 有 对 应 记录 ， 如 没有 再 使 用 DNS 功能 进行 域名 解析 。 
通过 用 户 手工 添加 记录 ，hosts 表 还 可 以 用 来 屏蔽 网 络 中 的 有 害 或 者 病毒 网 站 。 


2. NIS 系统 


将 主机 转换 为 PP 地 址 的 另 一 种 方案 是 NIS(Network Information System， 网 络 信息 系 
统 )。NIS 是 由 Sun Microsystem 开发 的 一 种 命名 系统 。NIS 将 主机 表 蔡 换 成 主机 数据 库 ， 
客户 机 可 以 从 数据 库 中 得 到 所 需要 的 主机 信息 。NIS 将 所 有 的 数据 保存 在 中 央 主机 上 ， 再 
由 中 央 主 机 将 所 有 数据 分 配给 用 户 ， 所 以 其 主机 名 与 PP 地 址 的 解析 效率 较 低 。NIS 一 般 
只 在 中 小 型 网 络 中 应 用 。 


3. DNS 系统 


DNS 系统 是 一 种 新 的 主机 名 称 和 卫 地 址 转换 机 制 ， 它 使 用 一 种 分 层 的 分 布 式 数据 库 
来 处 理 Internet 上 众多 主机 的 下 地 址 转换 。 也 就 是 说 ， 网 络 中 没有 存放 全 部 Intemet 主机 
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信息 的 中 心 数据 库 ， 这 些 信 息 分 布 在 一 个 层次 结构 中 的 若干 台 域 名 服务 器 上 。DNS 是 基 
于 客户 端 /服务 器 模式 设计 的 。 本 质 上 ， 整 个 域名 系统 以 一 个 大 的 分 布 式 数据 库 方式 工 
作 。 具 有 Intemet 连接 的 企业 网 络 都 可 以 有 一 个 域名 服务 器 ， 每 个 域名 服务 器 包含 有 指向 
其 他 域名 服务 器 的 信息 ， 结 果 是 这 些 服 务 器 形成 了 一 个 大 的 协调 工作 的 域名 数据 库 。 


6.1.2 DNS 组 成 


每 当 一 个 应 用 需要 将 域名 翻译 成 为 卫 地 址 时 ， 这 个 应 用 便 成 为 域名 系统 的 一 个 客 
户 。 这 个 客户 将 待 翻译 的 域名 放 在 一 个 DNS 请 求 信息 中 ， 并 将 这 个 请 求 发 给 域名 空间 中 
的 DNS 服务 器 。 服 务 器 从 请 求 中 取出 域名 ， 将 它 翻译 为 对 应 的 IP 地 址 ， 然 后 在 一 个 回答 
信息 中 将 结果 返回 给 应 用 。 如 果 接 到 请 求 的 DNS 服务 器 自己 不 能 把 域名 翻译 为 IP 地 址 ， 
将 向 其 他 DNS 服务 器 查询 。 整 个 DNS 域名 系统 由 以 下 3 个 部 分 组 成 。 

1. DNS 域名 空间 

指定 用 于 组 织 名 称 的 域 的 层次 结构 ， 它 如 同一 棵 倒立 的 树 ， 层 次 结构 非常 清晰 ， 如 
6-1 所 示 。 根 域 位 于 顶部 ， 紧 接着 在 根 域 的 下 面 是 几 个 顶级 域 ， 每 个 顶级 域 又 可 以 进 一 
步 划分 为 不 同 的 二 级 域 ， 二 级 域 再 划分 出 子 域 ， 子 域 下 面 可 以 是 主机 也 可 以 是 再 划分 的 子 
域 ， 直 到 最 后 的 主机 。 在 Internet 中 的 域 是 由 InterNIC 负责 管理 的 ， 域 名 的 服务 则 由 DNS 


来 实现 。 
根 域 
com | cn | edu net 其 他 项 级 域 | ---- 顶级 域 
| redhat | edu gov bi | ss 级 域 
WwW | WWW cctv Wi | 羡 二 二 SEE 子 域 
| WwW | news mail 
图 6-1 DNS 域名 空间 
2. DNS 服务 器 


DNS 服务 器 是 保持 和 维护 域名 空间 中 数据 的 程序 。 由 于 域名 服务 是 分 布 式 的 ， 每 一 
个 DNS 服务 器 含有 一 个 域名 空间 自己 的 完整 信息 ， 其 控制 范围 称 为 区 (Zone)。 对 于 本 区 
内 的 请 求 由 负责 本 区 的 DNS 服务 器 解释 ， 对 于 其 他 区 的 请 求 将 由 本 区 的 DNS 服务 器 与 负 
责 该 区 的 相应 服务 器 联系 。 
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3. 解析 器 


解析 器 是 简单 的 程序 或 子 程序 ， 它 从 服务 器 中 提取 信息 以 响应 对 域名 空间 中 主机 的 查 
询 ， 用 于 DNS 客户 端 。 


6.1.3 ”DNS 查询 过 程 


当 客 户 端 程序 要 通过 一 个 主机 名 称 来 访问 网 络 中 的 一 台 主机 时 ， 它 首先 要 得 到 这 个 主 
机 名 称 所 对 应 的 外 地 址 ， 因 为 外 数据 报 中 允许 放置 的 是 目地 主机 的 他 地 址 ， 而 不 是 主 
机 名 称 。 可 以 从 本 机 的 hosts 文件 中 得 到 主机 名 称 所 对 应 的 下 地 址 ， 但 如 果 hosts 文件 不 
能 解析 该 主机 名 称 时 ， 只 能 通过 向 客户 机 所 设 定 DNS 服务 器 进行 查询 了 。 

可 以 以 不 同 的 方式 对 DNS 查询 进行 解析 ， 第 1 种 是 本 地 解析 ， 就 是 客户 端 可 以 使 用 
缓存 信息 就 地 应 答 ， 这 些 缓存 信息 是 通过 以 前 的 查询 获得 的 ， 第 2 种 是 直接 解析 ， 就 是 直 
接 由 所 设 定 的 DNS 服务 器 解析 ， 使 用 的 是 该 DNS 服务 器 的 资源 记录 缓存 或 者 其 权威 回答 
(如 果 所 查询 的 域名 是 该 服务 器 管辖 的)， 第 3 种 是 递归 查询 ， 即 设 定 的 DNS 服务 器 代表 
客户 端 向 其 他 DNS 服务 器 查询 ， 以 便 完全 解析 该 名 称 ， 并 将 结果 返回 至 客户 端 。 第 4 种 
是 迭代 查询 ， 即 设 定 的 DNS 服务 器 向 客户 端 返回 一 个 可 以 解析 该 域名 的 其 他 DNS 服务 
器 ， 客 户 端 再 继续 向 其 他 DNS 服务 器 查询 。 

1 本 地 解析 

客户 机 平时 得 到 的 DNS 查询 记录 都 保留 在 DNS 缓 在 中 ， 客 户 机 操作 系统 上 都 运行 着 
一 个 DNS 客户 端 程序 。 当 其 他 程序 提出 DNS 查询 请 求 时 ， 这 个 查询 请 求 要 传送 至 DNS 
客户 端 程序 。DNS 客户 端 程序 首先 使 用 本 地 缓存 信息 进行 解析 ， 如 果 可 以 解析 所 要 查询 
的 名 称 ， 则 DNS 客户 端 程序 就 直接 应 答 该 查询 ， 而 不 需要 向 DNS 服务 器 查询 ， 该 DNS 
查询 处 理 过 程 也 就 结束 了 ， 如 图 6-2 所 示 。 


时 一 一 目 一 一 户 


DNS 客户 端 DNS 服务 缓存 主机 文件 


图 6-2 DNS 本 地 解析 

2. 直接 解析 

如 果 DNS 客户 端 程序 不 能 从 本 地 DNS 缓存 回答 客户 机 的 DNS 查询 ， 它 就 向 客户 机 
所 设 定 的 局 部 DNS 服务 器 发 一 个 查询 请 求 ， 要 求 局 部 DNS 服务 器 进行 解析 。 如 图 6-3 所 
示 ， 局 部 DNS 服务 器 得 到 这 个 查询 请 求 ， 首 先 查 看 一 下 所 要 求 查询 的 域名 是 不 是 自己 能 
回答 的 ， 如 果 能 回答 ， 则 直接 给 予 回答 ， 如 果 不 能 回答 ， 再 查看 自己 的 DNS 缓存 ， 如 果 
可 以 从 缓存 中 解析 ， 则 也 是 直接 给 予 回应 。 

3. 递归 查询 


当局 部 DNS 服务 器 自己 不 能 回答 客户 机 的 DNS 查询 时 ， 它 就 需要 向 其 他 DNS 服务 
器 进行 查询 。 此 时 有 两 种 方式 ， 图 6-4 所 示 的 是 递归 查询 方式 。 局 部 DNS 服务 器 自己 负 
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责 向 其 他 DNS 服务 器 进行 查询 ， 一 般 是 先 向 该 域名 的 根 域 服务 器 查询 ， 再 由 根 域名 服务 


器 一 级 级 向 下 查询 。 最 后 得 到 的 查询 结果 返回 给 局 部 DNS 服务 器 ， 再 由 局 部 DNS 服务 器 
返回 给 客户 端 。 


到 加 一 
ea — 
DNS 客户 端 Sy -el 和 


DNS 服务 缓存 


6-3 DNS 直接 解析 


DNS 局 部 根 域 


DNS 服务 器 起 时 


-级 域 
(已 查 到 ) 


图 6-4 DNS 递归 查询 
4. 和 迭代 查询 


当局 部 DNS 服务 器 自己 不 能 回答 客户 机 的 DNS 查询 时 ， 也 可 以 通过 迭代 查询 的 方式 
进行 解析 ， 如 图 6-5 所 示 。 局 部 DNS 服务 器 不 是 自己 向 其 他 DNS 服务 器 进行 查询 ， 而 是 
把 能 解析 该 域名 的 其 他 DNS 服务 器 的 人 P 地 址 返回 给 客户 端 DNS 程序 ， 客 户 端 DNS 程序 
再 继续 向 这 些 DNS 服务 器 进行 查询 ， 直 到 得 到 查询 结果 为 止 。 


导 


根 域 
局 部 

DNS 服务 器 略 
Rs 

1||2 一 级 域 

EJ S 3 Ss 

DNS 客户 端 二 级 域 

(已 查 到 ) 


图 6-5 DNS 迭代 查询 
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6.2 BIND 简介 


Linux 下 架设 DNS 服务 器 通常 是 使 用 BIND 程序 来 实现 的 。BIND 是 Berkeley Intermet 
Name Domain Service 的 简写 ， 它 是 一 款 实现 DNS 服务 器 的 开源 软件 。BIND 原本 是 美国 
DARPA 资助 加 州 大 学 伯 利 克 分 校 (Berkeley) 开 设 的 一 个 研究 生 课题 ， 后 来 经 过 多 年 的 变化 
发 展 ， 己 经 成 为 世界 上 使 用 最 为 广泛 的 DNS 服务 器 软件 ， 目 前 Intemet 上 绝 大 多 数 的 
DNS 服务 器 都 是 用 BIND 来 架设 的 。 

BIND 能 够 运行 在 当前 大 多 数 的 操作 系统 平台 之 上 。 目 前 BIND 软件 由 ISC(Intermet 
Software Consortium， 因 特 网 软件 联合 会 ) 这 个 非 营 利 性 机 构 负 责 开发 和 维护 。ISC 的 官方 
网 站 http://www.isc.org/， 可 以 下 载 该 软件 包 的 最 新 版 本 。 

BIND 软件 包 包 括 3 个 部 分 : 


G3:1 


BIND 服务 器 。 这 是 一 个 叫做 named 的 程序 ， 代 表 Name Daemon 的 简写 。 它 根 
据 DNS 协议 标准 的 规定 ， 响 应 收 到 的 查询 。 

BIND 解析 库 。 一 个 解析 器 是 一 个 程序 ， 通 过 发 送 请 求 到 合适 的 服务 器 并 且 对 服 
务 器 的 响应 做 出 合适 的 回应 ， 来 解析 对 一 个 域名 的 查询 。 一 个 解析 库 是 程序 组 件 
的 集合 ， 可 以 在 开发 其 他 程序 时 使 用 ， 为 这 些 程序 提供 域名 解析 的 功能 。 

测试 服务 器 的 软件 工具 。 主 要 包括 服务 器 端 工具 和 客户 端 工具 两 个 部 分 。 


6.3 BIND 服务 的 安装 与 运行 
BIND 服务 安装 


在 安装 BIND 服务 之 前 ， 我 们 应 使 用 下 面 的 命令 检查 系统 是 否 已 经 安装 了 DNS 服务 
或 查看 已 经 安装 了 何 种 版 本 。 

# rpm -qa bind 

命令 执行 后 没有 返回 结果 ， 需 要 对 BIND 服务 软件 包 进 行 安装 。 首 先 将 CentOS 5 的 
光盘 加 载 ， 进 入 到 rpm 包 所 在 目录 进行 安装 : 


# cd /media/CentOS*/CentOS 
# rpm -ivh bind-*.rpm --force 


Preparing... 排 提 提 大 提 提 提 提 间 提 提 提 大 划 划 拓 拓 拓 拓 拓 拓 划 拓 提 拓 拓 拓 拓 拓 提 提 拓 震 拓 提 提 埋 井 # [OO 名 ] 
1:bind-libs 提 非 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 间 提 井 间 并 间 [工人 4 等] 
2:bind 提 非 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 大 提 提 提 提 提 提 提 提 提 提 提 提 井 提 提 提 提 井 间 间 # 并 [ 29 村 ] 
3:bind-utils 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 井 左 井 堪 提 间 并 间 间 并 【” 据 3 名 ] 
4:bind-chroot 磊磊 拓 排 排 排 拓 拓 拓 拓 间 拓 间 拓 间 间 提 划 提 间 提 划 划 划 划 划 划 划 划 划 井 提 提 拓 拓 井 # 井 [ 57 名] 
5:bind-devel 排 提 提 间 提 提 提 提 间 提 划 划 划 划 划 拓 拓 拓 拓 拓 拓 拓 拓 拓 拓 拓 拓 拓 拓 拓 提 拓 提 拓 提 提 埋 井 井 ”了 和 ] 
6:bind-libbind-devel 提 拓 拓 拓 拓 排 拓 拓 提 提 间 坦 间 提 大 提 划 划 提 划 提 划 划 井 井 提 提 提 井 提 提 提 提 提 提 井 井 [ ”86 名] 
7:bind-sdb 非 莫 非 划 莫非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 井 提 井 划 井 井 井 # [OO 名 ] 


下 面 逐 一 介绍 各 个 软件 包 功 能 : 


bind-devel-9.3.6-4P1.el5 4.2Ipm 是 BIND 服务 开发 包 。 
bind-9.3.6-4P1.el5 4.2.rpm 是 BIND 服务 的 主要 软件 包 。 
bind-utils-9.3.6-4P1.el5 4.2Ipm 是 BIND 服务 常用 软件 包 。 
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@ bind-sdb-9.3.6-4.Pl.el5 4.2.1pm 是 BIND 服务 数据 库 后 端 软件 包 。 

e@ bind-chroot-9.3.6-4.Pl.el5 4.2.pm 是 让 BIND 在 chroot 模式 运行 的 软件 包 。 

®@ bind-libs-9.3.6-4.P1.el5 42rpm 是 BIND 服务 的 动态 链接 库 软件 包 。 

e@ bind-libbind-devel-9.3.6-4.Pl.el5 4.2Ipm 是 BIND 服务 动态 链接 库 开 发 软件 包 。 

另外 ， 安 装 完成 BIND 后 ， 我 们 应 选择 安装 caching-nameserver-*.rmp 包 ， 该 软件 包 
包含 了 BIND 服务 的 配置 模版 文件 ， 能 够 方便 对 BIND 配置 文件 进行 配置 与 修改 。 


# rpm -ivh caching-nameserver-—* 
Preparing... 莫非 非 提 提 提 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 提 提 提 间 并 间 井 提 [1 OO 名] 


锐 注意 :， bind 软件 包 安装 后 ， 在 /usr/share/doc/bind-9.3.6/sample/ 目 录 下 包含 了 bind 服 
务 的 各 种 配置 文件 ， 我 们 也 可 以 直接 复制 到 配置 文件 工作 目录 中 使 用 。 


6.3.2 BIND 服务 运行 与 停止 


BIND 服务 的 启动 脚本 文件 为 /etc/init.d/named 文件 。 该 文件 不 仅 控制 BIND 服务 的 启 
、 停 止 、 重 启 等 ， 同 时 也 能 实现 动态 加 载 区 域 数据 库 文件 及 查看 BIND 服务 的 运行 状 
。 通 过 service named 命令 调用 可 实现 其 功能 ， 命 令 格式 如 下 所 示 : 


# service named {start|stoplstatus|restart|condrestart|reload|probe} 


斌 池 


1. 启动 BIND 服务 
# service named start 


返回 结果 如 下 所 示 ， 说 明 BIND 服务 已 经 启动 。 


# service named start 


启动 named: [确定 ] 


2. 停止 BIND 服务 
# service named stop 


返回 结果 如 下 所 示 ， 说 明 BIND 服务 已 经 停止 。 


# service named stop 


停止 named: [确定 ] 


3. 重新 启动 BIND 服务 器 


# service named restart 
停止 named: . [确定 ] 
启动 named: [确定 ] 


4. 使 用 ps 命令 检查 named 进程 情况 


# ps -ef | grep named 

named 30253 1 0 08:00 ? 00:00:00 /usr/sbin/named -u named -c 
/etc/named.caching-nameserver.conf -t /var/named/chroot 

root 30315 23451 0 08:03 pts/4 00:00:00 grep named 
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5. 使 用 netstat 检查 named 运行 的 端口 


# netstat -nutap | grep named 


tcp 0 0 192.168.0.104:53 09.0.03# 

LISTEN 30253/named 

tcp 0 0 2720.0.17953 0.0.0:0:* 

LISTEN 30253/named 

tcp 0 @ 33512953 3 LISTEN 30253/named 
udp 0 0 192.168.0.104:53 O00.0:* 30253/named 


6. 设置 DHCP 服务 器 开机 自 启 动 


chkconfig --level 345 named on 


7. 使 用 图 形 化 方式 设置 BIND 服务 器 


CentOS 5 中 自 带 了 一 种 很 好 的 设置 服务 器 各 种 服务 的 工具 。 选 择 “ 系 统 ” 一 “ 管 
理 ” 一 “服务 器 设置 ”一 “服务 ”命令 ， 打 开 CentOS 中 的 “服务 配置 ”窗口 ， 如 图 6-6 
所 示 。 在 该 窗口 中 选中 dhcpd 服务 ， 然 后 单 击 “ 开 始 ”、“ 停 止 ”、“ 重 启 ” 等 按钮 即 可 
实现 对 dhcp 服务 的 启动 、 停 止 和 重启 操作 。 在 窗口 中 选中 服务 前 的 复 选 框 ， 还 可 实现 
named 服务 的 开机 自动 运行 。 


Er ET 
日 固 

保存 还 原 

所 闻名 | 榨 需 用 各) 


区 如 服务 壬 居 动 过 一 次 并 在 后 世 吉 
行人 由 以 换 电 局 动 忆 8 运行 要 哲 * 


6-6 ”CentOS 5 中 的 “服务 配置 ”窗口 


6.3.3 rndc 的 使 用 


mdc 是 BIND 安装 包 提 供 的 一 种 控制 域名 服务 运行 的 工具 ， 它 可 以 在 不 停止 DNS 服 
务 器 工作 的 情况 进行 数据 的 更 新 ， 使 修改 后 的 配置 文件 生效 。 在 DNS 生产 应 用 的 时 候 ， 
DNS 服务 器 是 非常 繁忙 的 ， 任 何 短 时 间 的 服务 暂停 都 会 使 用 户 服务 正常 使 用 网 络 。 因 
此 ， 使 用 mdc 工具 可 以 使 我 们 方便 的 对 DNS 服务 器 进行 不 间断 服务 的 修改 。 

Imdc 与 DNS 服务 器 实行 连接 时 ， 需 要 通过 数字 证 书 进行 认证 ， 而 不 是 传统 的 用 户 名 / 
密码 方式 。 在 当前 版 本 下 ，mdc 和 named 都 只 支持 HMAC-MDS5 认证 算法 ， 在 通信 两 端 使 
用 共享 密 钥 。mdc 在 连接 通道 中 发 送 命令 时 ， 必 须 使 用 经 过 服务 器 认可 的 密 钥 加 密 。 为 了 
生成 双方 都 认可 的 密 钥 ， 可 以 使 用 mdc-confgen 命令 产生 密 钥 和 相应 的 配置 ， 再 把 这 些 配 
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置 分 别 放 入 named.conf 和 mdc 的 配置 文件 mdc.conf 中 ， 具 体操 作 步 又 如 下 所 示 。 
(1) 执行 mdc-confgen 命令 ， 得 到 密 钥 和 相应 的 配置 。 


# rndc-confgen 
# Start of rndc.conf 
key "rndckey™" { 
algorithm hmac-md5; 
secret "DAab8G5BimvFjho2509Wag=="; 
I 


options { 
default-key "rndckey"; 
default-—server 127.0.0.1; 
default-port 953; 

] 7 

# End of rndc.conf 


# Use with the following in named.conf, adjusting the allow list as 
needed: 
# key "rndckey" { 


# algorithm hmac-md5; 

# secret "DAab8G5BimvFjho2509Wag=="; 

# } 7 

# 

# controls { 

# inet 127.0.0.1 port 953 

非 allow { 127.0.0.1; } keys { "rndckey"; }; 
#3 


# End of named.conf 


(2) 在 /etc 目录 下 创建 mdc.conf 文件 ， 输 入 (1) 中 不 带 注释 的 内 容 : 


# Vi rndc.key 
key "rndckey" { 

algorithm hmac-md5; 

secret "DAab8G5BimvFjho2509Wag=="; 
Fs 


options { 
default-key "rndckey"; 
default-server 127.0.0.1; 
default-port 953; 

ys 


(3) 根据 (1) 中 提示 ， 把 下 列 内 容 放 入 /etc/named.conf 中 : 


key "rndckey" { 
algorithm hmac-md5; 
secret "DAab8G5BimvFjho2509Wag=="; 


}; 


controls { 
inet 127.0.0.1 port 953 
allow { 127.0.0.1; } keys { "rndckey"; }; 
}; 


(4) 重启 named 进程 后 ， 就 可 以 使 用 mdc 工具 对 named 进行 控制 了 。 例 如 ， 下 面 的 
命令 可 以 使 named 重新 装载 配置 文件 和 区 文件 : 
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# rndc reload 
server reload successful 


此 外 ， 所 有 mdc 支持 的 命令 及 帮助 信息 可 以 通过 不 带 参数 的 mdc 命令 显示 : 


# rndc 
Usage: rndc [-c config] [-s server] [-p port] 
[-k key-file ] [-y key] [-V] command 


command is one of the following: 


reload Reload configuration file and zones. 
reload zone [class [view]] 
Reload a single zone. 
refresh zone [class [view]] 
Schedule immediate maintenance for a zone. 
retransfer zone [class [view]] 
Retransfer a single zone without checking serial number. 
freeze zone [class [view]] 
Suspend updates to a dynamic zone. 
thaw zone [class [view]] 
Enable updates to a frozen dynamic zone and reload it. 


reconfig Reload configuration file and new zones only. 
stats Write server statistics to the statistics file. 
querylog Toggle query logging. 


dumpdb [-alll-cache|-zones] [view ...] 
Dump cache (5) to the dump file (named dump.db) . 


stop Save pending updates to master files and stop the server. 

stop =p Save pending updates to master files and stop the server 
reporting process id. 

halt Stop the server without saving pending updates. 

halt -p Stop the server without saving pending updates reporting 
process id. 

trace Increment debugging level by one. 

trace level Change the debugging level. 

notrace Set debugging level to 0. 

flush Flushes all of the server's caches. 


flush [view] Flushes the server's cache for a view. 
flushname name [view] 
Flush the given name from the server's cache(s) 
status Display status of the server. 
recursing Dump the queries that are currently recursing 
(named.recursing) 
*restart Restart the server. 


* == not yet implemented 
Version: 9.3-6=P1=Red Hat=9.3.6=4.P1.615 4.2 


根据 上 面 结果 可 知 ，mdc 提供 了 非常 丰富 的 命令 ， 可 以 让 管理 员 在 不 重启 named 进 
程 的 情况 下 ， 完 成 大 部 分 的 DNS 服务 器 管理 工作 。 


6.4 ”bind-chroot 简介 
早期 Linux 服务 都 是 以 root 权限 启动 和 运行 的 ， 随 着 技术 的 发 展 ， 各 种 服务 变 得 越 来 


越 复杂 ， 导 致 问题 和 漏洞 越 来 越 多 。 黑 客 利用 服务 的 漏洞 入 侵 系统 ， 能 获得 root 级 别 的 权 
限 ， 从 而 控制 整个 系统 。 为 了 减缓 这 种 攻击 所 带 来 的 负面 影响 ， 现 在 服务 器 软件 通常 设计 
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为 以 root 权限 启动 ， 然 后 服务 器 进程 自行 放弃 root， 再 以 某 个 低 权 限 的 系统 账号 来 运行 进 
程 。 这 种 方式 的 好 处 在 于 该 服务 被 攻击 者 利用 漏洞 入 侵 时 ， 由 于 进程 权限 很 低 ， 攻 击 者 得 
到 的 访问 权限 又 是 基于 这 个 较 低 权限 的 ， 因 此 对 系统 造成 的 危害 比 以 前 减轻 了 许多 。 

chroot 是 Change Root 的 缩写 ， 它 可 以 改变 程序 运行 时 所 参考 的 “/” 根 目录 位 置 ， 即 
将 某 个 特定 的 子 目录 作为 程序 的 虚拟 “/” 根 目录 。chroot 对 程序 运行 时 可 以 使 用 的 系统 资 
源 、 用 户 权 限 和 所 在 目录 进行 严格 控制 ， 程 序 只 在 这 个 虚拟 的 根 目 录 具 有 权限 ， 一 旦 跳出 
该 目录 就 无 任何 权限 了 ， 所 以 有 些 书籍 也 将 chroot 称 为 “jail 监狱 ”。 举 个 简单 的 例子 ， 
架设 过 FTP 服务 器 的 读者 都 知道 ， 用 户 登 录 到 FTP 服务 器 时 ， 看 到 的 根 目 录 并 不 是 服务 
器 上 真正 的 根 目录 ， 而 是 它 的 主 目录 。 用 户 不 能 访问 除 主 目 录 外 的 任何 资源 ， 即 将 用 户 
“jail 监禁 ”在 自己 的 主 目录 中 ， 用 户 的 任何 操作 仅 对 自己 的 主 目录 有 效 ， 不 会 影响 系统 
和 其 他 用 户 的 文件 ，chroot 的 作用 也 是 类 似 的 。 

使 用 了 chroot 后 ， 就 算 黑客 入 侵 了 某 个 服务 ， 由 于 具有 的 权限 相当 有 限 ， 因 此 最 多 也 
只 能 破坏 该 服务 的 虚拟 根 目录 ， 不 会 威胁 到 整个 服务 器 的 安全 。 对 DNS 服务 而 言 ， 有 经 
验 的 网 络 管理 员 都 会 对 其 使 用 chroot 技术 来 增强 BIND 的 安全 。 在 安装 bind-chroot 后 ， 
BIND 的 工作 目录 发 生变 化 ， 更 改 到 /var/named/chroot/ 目 录 下 ， 即 使 服务 器 DNS 系统 被 非 
法 入 侵 ， 其 影响 范围 也 仅 限于 /var/named/chroot/ 目 录 ， 不 会 对 整个 系统 造成 影响 。 

安装 chroot 前 ，BIND 的 主 配置 文件 位 于 /etc 目录 下 ， 域 名 数据 库 文件 位 于 /var/named 
文件 夹 下 。 安 装 chroot 后 ， 虚 拟 根 目录 变 为 /var/named/chroot， 同 时 ， 这 个 虚拟 根 目录 下 
还 自动 创建 etc 和 var 目录， 分 别 对 应 实际 根 目 录 下 的 同名 目录 。 

另外 ， 安 装 chroot 时 ， 还 会 自动 把 实际 根 目 录 下 的 对 应 目录 中 的 配置 文件 都 复制 到 虚 
拟 根 目录 下 对 应 的 目录 中 。 例 如 ，/etc/named.conf 会 复制 到 /var/named/chroot/etc 文件 夹 
中 。 因 此 下 文 提 到 所 有 的 DNS 服务 器 配置 文件 、 区 域 数据 文件 和 配置 文件 内 的 语句 ， 都 
是 相对 这 个 虚拟 根 目录 而 言 的 。 

当 chroot 包 安 装 完 后 ， 会 在 /usr/sbin 目录 下 创建 bind-chroot-admin 文件 ， 这 是 chroot 
的 命令 文件 ， 利 用 bind-chroot-admin 命令 可 以 禁用 或 启用 chroot 功能 ， 也 可 以 使 虚拟 根 
目录 下 的 named 配置 文件 与 实际 根 目录 下 的 named 配置 文件 进行 同步 。 其 命令 格式 如 下 
所 示 : 

# bind-chroot-admin 


Usage: 
-e | --enable: enable the bind-chroot environment 
-d | --disable: disable the bind-chroot environment 
=8 | ==SYync: sync files between the bind chroot and / environments, 
so they are correct for the current state of the bind- 
chroot 


(enabled / disabled) 
$BIND CHROOT PREFIX, default /var/named/chroot, is the location of the 
chroot. 
$BIND DIR, default /var/named, is the default un-chrooted bind 
directory. 


由 上 述 结果 可 知 ， 在 bind-chroot-admin 命令 后 加 -e 选项 可 以 启用 chroot 功能 ， 加 -d 
选项 禁用 chroot 功能 ， 加 -s 选项 同步 配置 文件 。 在 学 习 与 工作 中 配置 BIND， 最 好 要 启用 
chroot 功能 ， 可 以 使 服务 器 的 安全 性 能 得 到 提高 。 
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还 注意 : 为 避免 产生 混淆 ， 下 文中 关于 BIND 的 配置 文件 位 置 均 指 在 安装 bind-chroot 


后 的 文件 位 置 。 


6.5 BIND 服务 的 配置 文件 


BIND 服务 的 配置 文件 比较 多 ， 用 户 可 以 直接 修改 配置 文件 来 更 改 相应 的 设置 。 配 置 
文件 更 改 完成 后 ， 需 要 重新 启动 或 重新 加 载 配置 文件 才能 生效 。 下 面 介 绍 几 个 常用 的 配置 


文件 。 


BIND 主 配置 文件 : /var/named/chroot/etc/named/named.conf 文件 为 BIND 服务 的 
主 配 置 文件 ， 用 户 可 以 在 此 配置 文件 中 设置 域名 转发 、 访 问 控 制 、 视 图 等 。 
BIND 区 域 配置 文件 ，/var/named/chroot/etc/named.zones 文件 是 BIND 服务 的 另 
一 个 主 配置 文件 ， 用 户 可 以 在 此 配置 文件 中 进行 正 向 区 域 、 反 向 区 域 设 置 。 
BIND 根 域 配 置 文件 ，/var/named/chroot/var/named/named.ca 文件 是 BIND 根 域 配 
置 文件 ， 主 要 记录 了 全 球根 域 服务 器 的 人 地 址 和 域名 。 用 户 可 以 定期 对 此 文件 
进行 更 新 。 

BIND 正 向 域 配置 文件 ， /var/named/chroot/var/named/localhost.zone 文件 为 BIND 
正 向 区 域 配置 文件 模版 ， 主 要 记录 localhost 域 的 信息 ， 如 主机 记录 、 起 始 授权 
记录 、 域 名 服务 器 记录 等 ， 用 于 将 域名 解析 成 他 地 址 。 同 时 用 户 可 以 以 此 文件 
为 模版 ， 在 创建 正 向 区 域 数据 库 文件 时 ， 可 以 直接 复制 此 文件 为 模版 。 

BIND 反 向 区 域 配置 文件 ，/var/named/chroot/var/named/named.local 文件 为 BIND 
反 向 区 域 配 置 文件 模版 ， 主 要 记录 127.0.0 域 的 信息 ， 如 指针 记录 等 ， 用 于 将 人 P 
地 址 解析 成 域名 。 

BIND 执行 脚本 : /etc/init.d/named 文件 为 BIND 服务 器 启动 、 停 止 的 脚本 。 用 户 
可 以 直接 执行 此 脚本 运行 BIND 服务 。 如 输入 /etc/init.dnamed start 即 可 启动 
BIND 服务 。 

BIND 守护 进程 : /usrsbin/named 文件 为 BIND 服务 的 守护 进程 ， 是 BIND 服务 
的 执行 文件 。 

BIND 日 志文 件 : /varlog/messages 文件 为 BIND 服务 日 志文 件 ， 同 时 也 是 其 他 服 
务 的 日 志文 件 ， 记 录 了 服务 的 启动 、 停 止 、 重 启 等 相关 日 志 。 

BIND 客户 端 文件 ，/etc/resolv.conf 是 DNS 客户 端 文件 ， 记 录 DNS 服务 器 卫 地 
址 及 域名 等 。 


注意 : ”BIND 的 主 配 置 文件 可 以 是 named.conf， 也 可 以 是 named.caching-nameserver.conf。 


事实 上 ，named.caching-nameserver.conf 是 named.conf 的 高 速 缓存 文件 ， 其 
优先 级 高 于 named.conf 配置 文件 。 若 /var/named/chroot/etc/ 文 件 夹 不 存在 
named.conf， 用 户 可 以 直接 将 named.caching-nameserver.conf 改名 为 
named.conf， 或 者 直接 使 用 named.caching-nameserver.conf 作为 配置 文件 即 
可 。 若 两 个 文件 同时 存在 ， 则 BIND 会 将 named.caching-nameserver.conf 作 
为 其 主 配置 文件 。 
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6.5.1 主要 配置 文件 named.conf 
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/var/named/chroot/etc/named.conf 是 BIND 服务 的 主 配 置 文件 。 用 户 可 以 在 此 配置 文件 


[root@bogon etc]# more named.conf 
// 
// named.caching-nameserver.conf 


// 


// Provided by Red Hat caching-nameserver package to configure the 
// ISC BIND named(8) DNS server as a caching only nameserver 


// (as a localhost DNS resolver only). 


// See /usr/share/doc/bind*/sample/ for example named configuration 


files. 
// 


// DO NOT EDIT THIS FILE - use system-config-bind or an editor 
// to create named.conf - edits to this file will be lost on 


// caching-nameserver package upgrade. 
// 


options { 


// 设 置 BIND 服务 的 相关 选项 ， 如 域名 转发 、BIND 服务 器 配置 文件 目录 、 监 听 端 口 等 
] 7 


listen-on port 53 { 127.0.0.1; 
listen-on-v6 port 53 { ::1; }; 
// 设 置 监听 端口 为 53 

directory "/var/named"; 


// 设 置 区 域 数据 库 文件 的 存储 位 置 


dump-file "/var/named/data/cache dump.db"; 


// 设 置 缓 存 dump 文件 的 存储 位 置 


statistics-file "/var/named/data/named stats.txt"; 


// 设 置 BIND 服务 器 状态 文件 位 置 


memstatistics-file "/var/named/data/named mem stats.txt"; 


设置 BIND 服务 器 内 存 状态 文件 位 置 


中 设置 域名 转发 、 视 图 、 访 问 控 制 等 。 默 认 内 容 如 下 所 示 : 


// Those options should be used carefully because they disable port 


// randomization 
// query-source port 53; 
// query-source-v6 port 53; 


allow-query { localhost; }; 


// 设 置 允许 DNS 查询 的 地 址 或 地 址 范围 ， 默 认 允 许 本 机 查询 
}; 


allow-query-cache { localhost; 
// 设 置 允许 查询 缓存 的 地 址 或 地 址 范围 。 
adi { 
// 配 置 BIND 日 志 
channel default debug { 
// 配 置 日 志 通 道 
file "data/named.run™"; 
severity dynamic; 
}; 
了 
View localhost resolver { 
// 配 置 BIND 视图 


match-clients { localhost; 


// 客 户 机 地 址 
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match-destinations { localhost; }; 


// 客 户 端 主机 

recursion yes; 

// 是 否 允 许 递归 查询 

include "/etc/named.rfc1912.zones"; 


// 包 含 区 域 文件 的 位 置 。 
Ed 
named.conf 配置 文件 由 语句 与 注释 组 成 ， 每 一 条 主 配置 语句 均 有 自己 的 选项 参数 。 这 
些 选项 参数 以 子 语句 的 形式 组 成 ， 并 包含 在 花 插 号 内 ， 作 为 主语 句 的 组 成 部 分 。 每 一 条 语 
句 ， 包 括 主语 句 和 子 语句 ， 都 必须 以 分 号 结尾 。 注 释 符号 可 以 使 用 类 似 于 C 语言 中 的 块 
注释 “/*” 和 “*/” 符 号 对 ， 以 及 行 注释 符 “//” 或 “#”。 
BIND 支持 的 主 配置 语句 及 功能 如 表 6-1 所 示 。 


表 6-1 BIND 的 主 配 置 语句 及 功能 


主 配 置 语句 名 称 功 能 
acl 定义 一 个 访问 控制 列表 ， 用 于 以 后 对 列表 中 的 他 进行 访问 控制 
controls 定义 有 关 本 地 域名 服务 器 操作 的 控制 通道 ， 这 些 通道 被 mde 用 来 发 送 控制 命令 
include 把 另 一 个 文件 中 的 内 容 包 含 进来 做 为 主 配置 文件 的 内 容 
ke 定义 一 个 密 匙 信息 ， 用 于 通过 TSIG 进行 授权 和 认证 的 配置 中 
logging 设置 日 志 服务 器 ， 以 及 日 志 信息 的 发 送 位 置 
options 设置 DNS 服务 器 的 全 局 配置 选项 
Server 定义 了 与 远程 服务 器 交互 的 规则 
trusted-ke; 定义 信任 的 DNSSED 密 匙 
View 定义 一 个 视图 
Zone 定义 一 个 区 域 
下 面 分 别 就 各 个 配置 语句 作 简单 介绍 : 
1) acl 语句 


acl 主 配 置 语句 用 于 定义 一 个 访问 控制 列表 ， 列 表 中 包含 了 一 些 用 人 P 表示 的 主机 ， 这 
个 访问 列表 可 以 在 其 他 语句 中 使 用 ， 表 示 其 所 定义 的 主机 。 其 格式 如 下 : 


acl acl-name { address match list ke 


address_match_list 表示 JP 地 址 或 PP 地 址 集 。 其 中 ，none、any、localhost 和 localnets 
这 4 个 内 定 的 关键 字 有 特别 含义 ， 分 别 表示 没有 主机 、 任 何 主机 、 本 地 网 络 接口 PP 和 本 
地 子 网 地。 一 个 具体 的 例子 如 下 所 示 : 


acl "someips" { // 定 义 一 个 名 为 someips 的 ACL 
YOO00 Li T9216823. 1 19%16023. 15: // 包 含 3 个 单个 IP 
乏 
acl "complex" { // 定 义 一 个 名 为 complex 的 ACL 
"someips"; // 可 以 包含 其 他 ACL 
IOs0.15.0/24: // 包 含 10.0.15.0 子 网 中 的 所 有 IP 
110.0.16.1/24; // 排 除 10.0.16.1 子 网 的 IP 
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localhost; // 本 地 网 络 接口 IP ( 含 实际 接 口 TP 和 127.0.0.1) 
] 
2) controls 语句 
controls 主语 句 定义 有 关 本 地 域名 服务 器 操作 的 控制 通道 ， 这 些 通道 被 mdc 用 来 发 送 
控制 命令 。 在 上 节 的 例子 named.conf 配置 文件 中 有 以 下 语句 ， 现 解释 如 下 : 
controls { 
inet 127.0.0.1 port 953  // 在 127.0.0.1 接口 的 953 号 端口 进行 监听 
allow { 127.0.0.1; } ”// 只 接受 127.0.0.1 的 连接 ， 即 只 有 在 本 机 使 用 rndc 才能 
对 named 进行 控制 


keys { "rndckey"; }; // 使 用 名 为 rndckey 的 密 钥 才 能 访问 
}; 


3) include 语句 

include 主语 句 表 示 把 另 一 个 文件 的 内 容 包 含 进 来 ， 作 为 named.conf 文件 的 配置 内 
容 ， 其 效果 与 把 那个 文件 的 内 容 直 接 输 入 named.conf 时 一 样 。 采 用 这 种 方式 一 是 为 了 简 
化 named.conf 文件 的 管理 ;二 是 为 了 安全 ， 因 为 可 以 把 一 些 密 钥 放 在 其 他 文件 不 让 无 关 
的 人 查看 。 

4) key 语句 

key 主语 句 定义 一 个 密 匙 ， 用 于 TSIG 授权 和 认证 。 它 主要 在 与 其 他 DNS 服务 器 或 
mdc 工具 通信 时 使 用 ， 可 以 通过 运行 mdc-confgen 命令 产生 。 

5) logging 语句 

logging 是 有 关 日 志 配 置 的 主语 句 ， 可 以 有 众多 的 子 语句 ， 指 明了 日 志 记 录 的 位 置 、 
日 志 的 内 容 、 日 志文 件 的 大 小 和 日 志 的 级 别 等 内 容 。 下 面 是 一 个 典型 的 日 志 语 句 内 容 。 

logging{ 

channel simple 1og { // 定 义 一 个 名 为 simple 1og 的 日 志 通道 。 可 以 定义 多 个 通道 ， 每 

个 通道 代表 一 种 日 志 

file "/var/1og/named/bind.1og" versions 3 // 该 日 志 记录 在 

/var/log/named/bind.1og 文件 中 ， 版 本 号 为 3 

size 5m; // 文 件 的 大 小 是 5MB， 超 过 5MB 时 ， 会 以 bind.1og.1 的 名 字 备 份 起 来 

severity warning; ， // 高 于 或 等 于 warning 级 别 的 日 志 才 被 记录 

print-time yes; // 日 志 记 录 包 含 时 间 域 

print-severity yes; // 日 志 记 录 包 含 日 志 级 别 域 

print-category yes; // 日 志 记录 包含 日 志 分 类 域 。 }; 

category default{ // 所 有 的 分 类 都 记录 到 simple_1og 日 志 通 道中 
simple log; 

] 7 

a 

6) options 语句 

options 语句 设 定 可 以 被 整个 BIND 使 用 的 全 局 选项 。 这 个 语句 在 每 个 配置 文件 中 只 有 
一 处 ， 如 果 出 现 多 个 options 语句 ， 则 第 一 个 options 的 配置 有 效 ， 并 且 会 产生 一 个 警告 信 
息 。 如 果 没 有 options 语句 ， 每 个 子 语句 使 用 默认 值 。options 选项 的 子 语句 很 多 ， 下 面 简 
单 介绍 一 下 主 配 置 文件 中 的 子 语句 : 

@ ”directory: 指定 服务 器 的 工作 目录 。 配 置 文件 其 他 语句 中 所 使 用 的 相对 路 径 ， 指 

的 都 是 在 这 个 子 语句 指定 的 目录 下 。 大 多 数 的 输出 文件 默认 时 也 生成 在 这 个 目录 
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下 。 如 果 没 有 设 定 ， 工 作 目 录 默 认 设置 为 服务 器 启动 时 的 目录 。 指 定 目录 时 ， 应 
该 以 绝对 路 径 表 示 。 
@ ”pid-file: 设 定 进程 PID 文件 的 路 径 名 ， 如 果 没 有 指定 ， 默 认为 /varrunmamed pid。 
因此 ， 此 时 要 注意 运行 进程 的 用 户 named 对 该 目录 要 有 写 入 的 权限 ， 否 则 ， 
named 将 不 能 正常 启动 。pid-file 是 给 那些 需要 向 运行 着 的 服务 器 发 送信 号 的 程 
序 使 用 的 。 
@ ”forwarders: 设 定 转发 使 用 的 PP 地 址 。 该 子 语 句 只 有 在 forward 设置 成 允许 转发 
后 才 生 效 ， 默 认 的 列表 是 空 的 ， 表 示 不 转发 。 转 发 也 可 以 设置 在 每 个 域 中 ， 这 样 
全 局 选项 中 的 转发 设置 就 不 会 起 作用 了 。 用 户 可 以 将 不 同 的 域 转发 到 不 同 的 其 他 
DNS 服务 器 上 ， 或 者 对 不 同 的 域 实现 forward only 或 first 的 不 同方 式 ， 也 可 以 选 
择 根本 就 不 转发 。 
@ allow-query: 主语 句 用 于 设 定 DNS 服务 器 为 哪些 客户 机 提供 DNS 查询 服务 ， 可 
以 在 后 面 的 花 括号 内 放置 命名 的 ACL 或 address_ match list，any 表示 任何 主机 
都 可 以 访问 。allow-query 也 能 在 zone 语句 中 设 定 ， 这 样 全 局 options 中 的 allow- 
query 选项 在 zone 中 就 不 起 作用 了 。 默 认 时 是 允许 所 有 主机 进行 查询 。 
7) server 语句 
server 主语 句 定 义 了 与 远程 服务 器 交互 的 规则 ， 例 如 ， 决 定 本 地 DNS 服务 器 是 作为 
主 域 名 服务 器 还 是 辅 域 名 服务 器 ， 以 及 与 其 他 DNS 服务 器 通信 时 采用 的 密 钥 等 。 语 句 可 
以 出 现在 配置 文件 的 顶层 ， 也 可 以 出 现在 视图 语句 的 内 部 。 如 果 一 个 视图 语句 包括 了 自己 
的 server 语句 ， 则 只 有 那些 视图 语句 内 的 server 语句 才 起 作用 ， 顶 层 的 server 语句 将 被 忽 
略 。 如 果 一 个 视图 语句 内 不 包括 server 语句 ， 则 顶层 server 语句 将 被 当做 默认 值 。 
8) trusted-keys 语句 
trusted-keys 语句 定义 DNSSEC 安全 根 的 tusted-keys。DNSSEC 指 由 RFC2535 定义 的 
DNS sercurity。 当 一 个 非 授 权 域 的 公 钥 是 已 知 的 ， 但 不 能 安全 地 从 DNS 服务 器 获取 时 ， 
需要 加 入 一 个 trusted-keys。 这 种 情况 一 般 出 现在 singed 域 是 一 个 非 signed 域 的 子 域 的 时 
候 ， 此 时 加 了 trusted key 后 被 认为 是 安全 的 。trusted-keys 语句 能 包含 多 重 输入 口 ， 由 键 的 
域名 、 标 志 、 协 议 算法 和 64 位 键 数据 组 成 。 
9) view 语句 
view 语句 定义 了 视图 功能 。 视 图 是 BIND 9 提供 的 强大 的 新 功能 ， 人 允许 DNS 服务 器 
根据 客户 端的 不 同 有 区 别 地 回答 DNS 查询 ， 每 个 视图 定义 了 一 个 被 特定 客户 端子 集 见 到 的 
DNS 名 称 空间 。 这 个 功能 在 一 台 主 机 上 运行 多 个 形式 上 独立 的 DNS 服务 器 时 特别 有 用 。 


6.5.2 ”主要 配置 文件 named.rfc.zones 


/var/named/chroot/etc/named.rfc.zones 也 是 BIND 服务 的 主 配 置 文件 ， 用 户 可 以 在 此 配 
置 文件 中 设置 域名 正 向 解析 、 反 向 解析 ， 默 认 内 容 如 下 (以 // 为 注释 语句 ): 


# more named.rfcl1912.zones 

// named.rfc1912.zones: 

光 关 

// Provided by Red Hat caching-nameserver package 
Wf 


// ISC BIND named zone configuration for zones recommended by 


回 
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// REC 1912 section 4.1 : localhost TLDs and address zones 
77 
// See /usr/share/doc/bind*/sample/ for example named configuration 
files. 
ff 
So er LN // 设 置 根 区 域 
type hint; // 区 域 的 类 型 为 根 域 
file "named.ca"; // 根 域 对 应 的 区 域 数据 库 文件 
] 7 


zone "localdomain" IN { // 定 义 localdomain 区 域 ， 域 名 为 localdoman 
type master; // 表 示 区 域 类 型 为 主 域名 。 
file "localdomain.zone"; // 区 域 数 据 库 文件 的 文件 名 ， 记 录 区 域 的 相关 记录 。 
allow-update { none; }; // 人 允许 客户 端 进行 更 新 的 地 址 范围 。 

] 7 


Zone "localhost" IN { 


// 设 置 localhost 正 向 区 域 ， 如 需 创 建 域名 ， 则 可 将 域名 蔡 换 1ocalhost 


type master; 


file "localhost .zone"; // 此 域 的 区 域 文件 位 置 。 


allow-update { none; }; 


Fe 


zone "0.0.127.in-addr.arpa" IN { 

// 设 置 127.0.0 反 向 区 域 ， 其 中 IP 地 址 需要 反 写 。 
type master; 
file "named.local"; 
allow-update { none; }; 

}; 


zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" 
IN // 设 置 一 个 ipv6 的 反 向 区 域 
{ 
type master; 
file "named.ip6.1local"; 
allow-update { none; }; 
}; 


zone "255.in-addr.arpa" IN { // 设 置 一 个 广播 域 
type master; 
file "named.broadcast"; 
allow-update { none; }; 

3 


区 
荡 


zone "0.in-addr.arpa" IN { // 设 置 一 个 零 
type master; 
file "named.zero"7 
allow-update { none; }; 


] 7 


Zone 语句 定义 了 DNS 服务 器 所 管理 的 区 ， 它 定义 了 哪些 域名 是 授权 给 该 DNS 服务 器 
答 的 。type 子 语句 可 指定 5 种 类 型 的 区 ， 具 体 名 称 和 功能 如 下 所 示 : 

e@ Master( 主 域 ): 主 域 用 来 保存 某 个 区 域 的 数据 信息 。 

e@ ”Slave( 辅 助 区 域 )， 也 叫 次 级 域 ， 数 据 来 自主 域 ， 起 备份 作用 。 

e@ ”Stub: Stub 区 与 辅 域 相似 ， 但 它 只 复制 主 域 的 NS 记录 ， 而 不 是 整个 区 数据 。 它 
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不 是 标准 DNS 的 功能 ， 只 是 BIND 提供 的 功能 。 
@ ”Forward( 转 发 ): 转发 域 中 一 般配 置 了 forward 和 forwarders 子 句 ， 用 于 把 对 该 域 
的 查询 请 求 转 由 其 他 DNS 服务 器 处 理 。 
e ”Hint: Hint 域 定义 了 一 套 最 新 的 根 DNS 服务 器 地 址 ， 如 果 没 有 定义 ，DNS 服务 
器 会 使 用 内 建 的 根 DNS 服务 器 地 址 。 
在 每 一 个 zone 语句 中 ， 都 用 file 子 语句 定义 一 个 区 文件 ， 这 个 文件 里 存放 了 域名 与 
卫 地 址 的 对 应 关系 。 


6.5.3 正 向 区 域 数 据 库 文件 
该 文件 用 于 区 域 域名 解析 查询 ， 内 容 模板 如 下 : 


# more /var/named/chroot/var/named/localhost.zone 
$TTL 86400 
//TTL 为 Time to live 的 缩写 ， 即 该 区 域 数据 库 文件 的 生存 周期 ， 单 位 为 秒 。 通 常 所 有 的 区 域 
于 86400 秒 即 为 1 天 。 
IN SOR @ root ( 


7 /设置 区 域 的 起 始 授权 记录 。 其 中 第 一 个 8 表示 域名 ， 第 二 个 @ 表 示 起 始 授权 机 构 即 DNS 的 ITP 地 
址 。root 表示 该 域 管理 员 邮 箱 。 假 如 管理 员 邮 箱 地址 为 niceedu .cn， 则 需要 在 此 处 写成 
nic.edu.cn。 因 为 @ 符 号 在 本 文件 中 已 经 有 了 其 他 的 定义 。 


42 7 serial (d. adams) 
// 表 示 序 列 号 ， 如 果 区 域 数 据 库 文件 的 内 容 发 生 了 更 改 ， 则 需 将 此 数值 加 
1， 外 若 本 身 的 序列 号 比 主 域名 服务 器 的 序号 小 ， 则 更 新 自身 的 记录 。 


7 refresh 
// 域 名 服务 器 刷新 记录 的 时 间 为 3 小 时 ， 辅 助 域名 服务 器 每 
隔 3 小 时 向 主 域名 服务 器 发 出 一 次 更 新 请 求 。 
15M ; retry 
// 当 辅助 域名 服务 器 3 小 时 后 无 法 与 主 域名 服务 器 通信 ， 将 
每 隔 15 分 钟 再 向 主 域名 服务 器 发 送 更 新 请 求 。 
1W 7 expiry 
// 过 期 时 间 为 1 周 。 若 辅助 域名 服务 器 1 周 时 间 无 法 与 主 域 
名 服务 器 通信 ， 则 对 应 的 记录 将 失效 。 


1D ) ; minimum 


//TTL 的 最 小 值 为 1 天 。 


IN NS 


//NS 记录 ， 表示 域名 服务 器 记 录 对 应 的 主机 域名 。 
INA 127.0.0.1 


//A 记录 ， 记 录 主 机 与 域名 的 映射 关系 。 默 认 主 机 名 位 localhsot 对 应 的 
IP 地 址 为 127.0.0.1。 
IN AAAA 


//IPV6 记录 。 


在 区 域 数据 文件 中 ， 使 用 ":" 作 为 行 注释 符 ， 除 第 一 条 语句 以 外 ， 区 域 数据 文件 中 的 每 
一 条 语句 称 为 一 条 记录 。 以 上 配置 中 各 条 语句 的 含义 如 下 所 示 。 
1) 设置 其 他 DNS 服务 器 缓存 本 机 数据 的 默认 时 间 
STTL 指令 要 求 放 在 文件 的 第 1 行 ， 定义 了 其 他 DNS 服务 器 缓存 本 机 数据 的 默认 时 
间 ， 默 认 单位 是 秒 ， 也 可 以 用 h( 小 时 )、d( 天 ) 和 w( 星 期 ) 为 单位 。DNS 服务 器 在 应 答 中 提 
供 TIL 值 ， 目 的 是 允许 其 他 的 服务 器 在 TIL 间隔 内 缓存 数据 。 如 果 本 地 的 DNS 服务 器 
数据 改变 不 大 ， 可 以 考虑 几 天 默认 TIL， 最 长 可 以 设 为 一 周 。 但 是 不 推荐 设置 TIL 为 
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0， 此 时 将 导致 大 量 的 DNS 数据 传输 。 

2) 设置 起 始 授权 机 构 

SOA 是 Start of Authority( 起 始 授权 机 构 ) 的 缩写 ， 它 指出 这 个 域名 服务 器 是 作为 该 区 
数据 的 权威 的 来 源 。 在 指令 “testedu.cn. IN SOA ns.testedu.cn. nic@testedu.cn.” 中 ， 指 定 
了 负责 解析 testedu.cn. 域 的 授权 主机 名 是 “ns.testedu.cn.”， 授 权 主 机 名 称 将 在 区 域 文件 中 
解析 为 卫 地 址 。IN 表示 属于 Intemet 类 ， 是 固定 不 变 的 ，“n@testedu.cn.” 表 示 负 责 该 区 
域 的 管理 员 的 E-mail 地 址 。 每 一 个 区 文件 都 需要 一 个 SOA 记录 ， 而 且 只 能 有 一 个 。SOA 
资源 记录 还 要 指定 一 些 附加 参数 ， 放 在 SOA 资源 记录 后 面 的 括号 内 ， 其 名 称 和 功能 见 例 
子 中 的 注释 。 

3) 设置 名 称 服务 器 NS 资源 记录 

例如 ，“testedu.cn. IN NS ns.testedu.cn.” 是 一 条 NS(Name Server) 资 源 记 录 ， 定 义 了 
域 “testedu.cn.” 由 DNS 服务 器 “ns.testedu.cn.” 负 责 解析 ，NS 资源 记录 定义 的 服务 器 称 
为 区 域 权威 名 称 服务 器 。 权 威名 称 服务 器 负责 维护 和 管理 所 管辖 区 域 中 的 数据 ， 被 其 他 服 
务 器 或 客户 端 当 作 权 威 的 来 源 ， 并 且 能 肯定 应 答 区 域内 所 含 名 称 的 查询 。 这 里 的 配置 要 求 
和 SOA 记录 配置 一 致 。 

4) 设置 邮件 服务 器 MX 资源 记录 

例如 ，“testedu.cn. IN MX 10 mail” 是 一 条 MX(Mail eXchanger) 资 源 记 录 ， 表 示 发 往 
testedu.cn 域 的 电子 邮件 由 mail.testedu.cn 邮件 服务 器 负责 处 理 。 例 如 ， 当 一 个 邮件 要 发 送 
地 址 到 test@testedu.cn 时 ， 发 送 方 的 邮件 服务 器 通过 DNS 服务 器 查询 testedu.cn 这 个 域名 
的 MX 资源 记录 ， 查 到 后 ， 会 把 邮件 发 送 到 指定 的 邮件 服务 器 ， 如 mail.testedu.cn。 至 于 
该 域名 对 应 的 全 地 址 ， 需 要 通过 随后 的 A 资源 记录 设 定 。 

值得 注意 的 是 ， 在 设置 邮件 服务 器 MX 资源 记录 的 时 候 可 以 设置 多 个 MX 资源 记 
录 ， 指 明 多 个 邮件 服务 器 ， 优 先 级 别 由 MX 后 的 数字 决定 ， 数 字 越 小 ， 邮 件 服务 器 的 优先 
权 越 高 。 邮 件 传送 时 首先 选用 优先 级 高 的 邮件 服务 器 ， 当 邮件 传送 给 优先 级 高 的 邮件 服务 
器 失败 时 ， 将 邮件 传送 给 优先 级 低 的 邮件 服务 器 。 

5) 设置 主机 地 址 A 资源 记录 

主机 地 址 A(Address) 资 源 记 录 是 最 常用 的 记录 ， 它 定义 了 DNS 域名 对 应 人 P 地 址 的 信 
息 。 在 主机 域名 部 分 可 以 直接 写 相对 名 称 ， 也 可 以 写 完全 规范 域名 FQDN， 两 者 的 功能 是 
一 样 的 。 

6) 设置 别名 CNAME 资源 记录 

别名 CNAME(Canonical Name) 资 源 记 录 也 被 称 为 规范 名 字 资 源 记 录 。CNAME 资源 记 
录 人 允许 将 多 个 名 称 映射 到 同一 台 计 算 机 上 ， 使 得 某 些 任务 更 容易 执行 。 例 如 ， 对 于 同时 提 
供 Web、OA 服务 的 计算 机 (IP 地 址 为 10.10.1.3)， 为 了 便于 用 户 访 问 服务 ， 可 以 先 为 其 建 
立 一 条 主机 地 址 A 资源 记录 “www IN A 10.10.1.3”， 将 www.testedu.cn 映射 到 10.10.1.3 
地 址 ， 然 后 再 为 该 计算 机 设置 oa 别名 ， 即 建立 CNAME 资源 记录 “oa IN CNAME 
www”。 这 样 ， 当 访问 www.testedu.cn 和 oa.testedu.cn 时 ， 实 际 都 是 访问 全 地 址 为 
10.10.1.3 的 计算 机 。 


6.5.4 反 向 区 域 数据 库 文件 
用 于 反 向 区 域 域名 解析 。 具 体 模板 内 容 如 下 : 
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# more /var/named/chroot/var/named/named.local 
$TTL 86400 
$TTL 86400 
//TTL 为 Time to live 的 缩写 ， 即 该 区 域 数 据 库 文 件 的 生存 周期 ， 单 位 为 秒 。 通 常 所 有 的 区 域 
li 86400 秒 即 为 1 天 。 

IN SORA @ root ‘《 
/ /设置 区 域 的 起 络 授权 记录 。 其 中 第 一 个 8 表示 域名 ， 第 二 个 @ 表 示 起 始 授权 机 构 即 DNS 的 IP 地 
址 ，root 表示 该 域 管理 员 邮 箱 。 假 如 管理 员 邮 箱 地 址 为 niceedu. cn， 则 需要 在 此 处 写成 
nic.edu.cn。 因 为 @ 符 号 在 本 文件 中 已 经 有 了 其 他 的 定义 。 

42 7 serial (d. adams) 


// 表 示 序 列 号 ， 如 果 区 域 数 据 库 文件 的 内 容 发 生 了 
更 改 ， 则 需 将 此 数值 加 1， 在 辅助 域名 服务 器 更 新 记录 时 使 用 。 若 本 身 的 序列 号 比 主 域名 服务 器 的 
序号 小 ， 则 更 新 自身 的 记录 。 


3H ; refresh 
// 域 名 服务 器 刷新 记录 的 时 间 为 3 小 时 ， 辅 助 域名 


服务 器 每 隔 3 小 时 向 主 域名 服务 器 发 出 一 次 更 新 请 求 。 
15M Etry 


// 当 辅助 域名 服务 器 3 小 时 后 无 法 与 主 域名 服务 器 
通信 ， 将 每 隔 15 分 钟 再 向 主 域名 服务 器 发 送 更 新 请 求 。 
1W ; expiry 


// 过 期 时 间 为 1 周 。 若 辅助 域名 服务 器 1 周 时 间 
无 法 与 主 域名 服务 器 通信 ， 则 对 应 的 记录 将 失效 。 
] )》 ; minimum 


//TTL 的 最 小 值 为 1 天 。 


IN NS 


//NS 记录 ， 表示 域名 服务 器 记 录 对 应 的 主机 域名 
和 IN PTR localhost. 


//PTR 指针 记录 ， 用 于 将 IP 地 址 解析 成 域名 。 


反 向 域名 解析 是 通过 in-addr.arpa 域 和 PTR 记录 实现 的 。in-addr.arpa 域 从 左 至 右 阅 
读 ， 这 与 卫 地 址 的 通常 顺序 相反 。 于 是 ， 一 台 人 P 地 址 为 10.16.2.3 的 机 器 将 会 有 对 应 的 
in-addr.arpa 名 称 : 3.2.16.10.in-addr.arpa。 这 个 名 称 应 该 具有 一 个 PTR 资源 记录 ， 它 的 数 
据 字 段 是 主机 名 称 。 下 面 看 一 下 以 上 配置 的 具体 解释 。 

1) 设置 SOA 和 NS 资源 记录 

反 向 解析 区 域 文件 必须 包括 SOA 和 NS 资源 记录 ， 使 用 固定 格式 的 反 向 解析 区 域 in- 
addr.arpa 作为 域名 ， 结 构 和 格式 与 区 域 数据 文件 类 似 ， 这 里 不 再 重复 。 

2) 设置 指针 PTR 资源 记录 

指针 PTR 资源 记录 只 能 在 反 向 解析 区 域 文件 中 出 现 。PTR 资源 记录 和 A 资源 记录 正 
好 相反 ， 它 是 将 人 P 地 址 解析 成 DNS 域名 的 资源 记录 。 与 区 域 文件 的 其 他 资源 记录 类 似 ， 
它 也 可 以 使 用 相对 名 称 和 完全 规范 域名 FQDN。 例 如 ，“6.1.16.10.in-addr.arpa. IN PTR 
mail.testedu.cn.” 表 示 卫 地 址 10.16.1.6 对 应 的 域名 为 mail.testedu.cn。 


6.5.5” 根 域 数据 库 文件 


该 文件 记录 了 全 球根 域 服务 器 的 P 地 址 ， 包 括 13 台 IPv4 的 根 域 服务 器 地 址 和 6 台 
IPv6 的 根 域 服务 器 他 地 址 。 当 BIND 接 到 客户 端的 查询 请 求 时 ， 如 果 本 地 不 能 解释 ， 也 
不 能 在 Cache 中 找到 相应 的 数据 ， 就 会 通过 根 服务 器 进行 逐 级 查询 。 具 体内 容 如 下 : 
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# more /var/named/chroot/var/named/named.ca 


<<>> DiG 9.5.0b2 <<>> +bufsize=1200 +norec NS 
printcmd 


; global options: 


7 ->>HEADER<<- opcode: QUERY, 


77 Got answer: 


; flags: qr aa; QUERY: 


1, 


7; OPT PSEUDOSECTION: 


;7 QUESTION SECTION: 


; EDNS: version: 


A 

A 
A 
B 
C 
D 
E 
于 
G 
H 
H 
和 
J 
J 
K 

K 

L 

M 
M 


.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
-ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 
-ROOT-SERVERS .NET . 
.ROOT-SERVERS .NET . 


518400 
518400 
518400 
518400 
518400 
518400 
518400 
518400 
518400 
518400 
518400 
518400 
518400 


” ADDITIONAL SECTION : 
ROOT-SERVERS .NET . 


IN 


IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 


3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 
3600000 


; Query time: 110 msec 
; SERVER: 198.41.0.4#53(198.41.0.4) 
; WHEN: Tue Feb 26 15:05:57 2008 
;7 MSG SIZE rcvd: 615 


IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 
IN 


status: 


0, flags:; udp: 4096 


NS 


- @a.root-servers.net 


NOERROR, id: 7033 
ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 20 

NS D.ROOT-SERVERS .NET . 
NS E.ROOT-SERVERS .NET . 
NS 上 .ROOT-SERVERS .NET. 
NS G.ROOT-SERVERS .NET . 
NS H.ROOT-SERVERS .NET . 
NS 工 -ROOT-SERVERS .NET . 
NS J.ROOT-SERVERS .NET. 
NS K.ROOT-SERVERS .NET . 
NS L.ROOT-SERVERS .NET . 
NS M.ROOT-SERVERS .NET . 
NS A.ROOT-SERVERS .NET . 
NS B.ROOT-SERVERS .NET . 
NS C.ROOT-SERVERS .NET . 

A 198.41.0.4 

AAAA 2001:503:ba3e::2:30 

A 192<228.792201 

A L9233.4.12 

A 128.8.10.90 

A 192..203s230.10 

A L925555.201 

AAAA 2001:500:2f:: 工 

A 192.112.36.4 

A 329<63-2-53 

AAAA 2001:500:1:2803£:235 

A 192.36.148。.17 

A 192.58.128.30 

AAAA 2001:503:627::2:30 

A 1930. 14:129 

AAAA 2001:7fd::1 

A L199.7.683.42 

A 202512527.33 

AAAA 2001:dc3::35 


一 般 来 说 ， 根 域 文件 无 需 进行 修改 。 有 时 Internet 根 服务 器 的 地 址 会 发 生变 化 ， 因 此 
named.ca 也 应 该 随 之 更 新 。 最 新 的 根 服 务 器 列表 可 以 从 ftp:/ftprs.intemic netdomain/ 
named.root 下 载 ， 它 包含 了 国际 互联 网 络 信 息 中 心 (InterNIC) 提 供 的 最 新 数据 。 
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6.5.6 日 志文 件 


BIND 服务 的 日 志文 件 为 /var/log/messages， 主 要 记录 有 效 的 区 域 、 区 域 数据 库 文件 的 
序号 、BIND 服务 器 的 运行 状态 等 。 如 果 用 户 需 要 记录 BIND 服务 的 其 他 日 志 ， 可 在 
BIND 服务 器 上 通过 logging 选项 进行 配置 。 通 过 查看 该 文件 可 得 到 如 下 内 容 : 


Mar 10 08:00:49 bogon named[10253]: starting BIND 9.3.6-Pl-RedHat-9.3.6- 
4.Pl.el5 4.2 -u named -c /etc/named.cach 

ing-nameserver.conf -t /var/named/chroot 

Mar 10 08:00:49 bogon named[10253]: adjusted limit on open files from 
1024 to 1048576 

Mar 10 08:00:49 bogon named[10253]: found 2 CPUs, using 2 worker threads 
Mar 10 08:00:49 bogon named[10253]: using up to 4096 sockets 

Mar 10 08:00:49 bogon named[10253]: loading configuration from 
'/etc/named.caching-nameserver.conf' 

Mar 10 08:00:49 bogon named[10253]: using default UDP/IPV4 port range: 
[1024, 65535] 

Mar 10 08:00:49 bogon named[10253]: using default UDP/IPV6 port range: 
[1024, 65535] 

Mar 10 08:00:49 bogon named[10253]: listening on IPv4 interface eth0， 
192.168.0.104#53 

Mar 10 08:00:49 bogon named[10253]: command channel listening on 
127.0.0.1#953 

Mar 10 08:00:49 bogon named[10253]: command channel listening on ::1#953 
Mar 10 08:00:49 bogon named[10253]: the working directory is not 
writable 

Mar 10 08:00:49 bogon named[10253]: zone 0.in- 

addr.arpa/IN/localhost resolver: loaded serial 42 

Mar 10 08:00:49 bogon named[10253]: zone 0.0.127.in- 
addr.arpa/IN/localhost resolver: loaded serial 1997022700 


… (省略 ) 


6.6 BIND 服务 器 常用 调试 工具 


为 了 方便 用 户 对 BIND 进行 配置 ， 减 少 手工 修改 配置 文件 而 产生 的 错误 ，BIND 中 也 
集成 了 一 些 服务 器 配置 工具 。 下 面 ， 让 我 们 对 几 个 工具 做 以 下 介绍 。 


6.6.1 配置 文件 语句 检测 工具 


named-checkconf 工具 用 来 检测 BIND 主 配 置 文档 named.conf 是 否 存在 错误 。 命 令 运 
行 可 以 参照 以 下 模式 : 


# named-checkconf /var/named/chroot/etc/named.conf 
如 主 配置 文件 named.conf 没有 错误 ， 则 不 返回 数据 。 如 存在 错误 ， 则 出 现 错误 提示 
如 下 所 示 : 


# named-checkconf /var/named/chroot/etc/named.conf 
/var/named/chroot/etc/named.conf:18: missing ';' before 'directory' 


以 上 结果 显示 ， 在 /var/named/chroot/etc/named.conf 文件 的 第 18 行 在 'directory' 字 符 之 
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前 缺少 “:”。 


6.6.2 区域 数据 库 文件 语句 检测 工具 


named-checkzone 工具 用 来 检测 BIND 区 域 数据 库 文件 是 否 存在 语法 错误 。 命 令 语法 
格式 为 : 

named-checkzone < 区 域 > < 区 域 数据 库 文件 > 

如 需要 检查 testedu.cn 正 向 区 域 数据 库 是 否 存 在 错误 ， 可 用 以 下 命令 实现 : 


# named-checkzone testedu.cn /var/named/chroot/var/named/db.testedu.cn 


运行 结果 如 下 所 示 : 


# named-checkzone testedu.cn /var/named/chroot/var/named/db.testedu.cn 
zone testedu.cn/IN: loaded serial 42 
OK 


说 明 数 据 库 文件 没有 语法 错误 。 
6.7 DNS 客户 端的 配置 


6.7.1 Linux 中 DNS 客户 端的 配置 


在 Linux 中 为 客户 端 指定 DNS 服务 器 地 址 ， 可 直接 编辑 配置 文件 /etc/resolv.conf。 
/etc/resolv.conf 文件 是 Linux 客户 端 定义 DNS 服务 器 的 配置 文件 。 当 客户 端 需要 解析 某 个 
域名 时 ， 会 将 此 解析 的 查询 请 求 直 接 发 送 到 客户 端 定义 的 BIND 服务 器 的 卫 地 址 处 ， 要 
求 BIND 服务 器 解析 。BIND 服务 器 将 解析 之 后 的 结果 传输 给 客户 端 。 如 果 不 指定 BIND 
服务 器 的 他 地址 或 者 他 地 址 错误 ， 则 会 出 现 解析 不 成 功 的 现象 。 

/etc/resolv.conf 中 内 容 如 下 : 


# more /etc/resolv.conf 

; generated by /sbin/dhclient-script 
search domain.org 

nameserver 192.168.1.1 


其 中 search 语句 用 于 设置 搜索 域 。 例 如 search domain.org 表示 设置 搜索 域 为 
domain.org 的 域名 。namedserver 语句 用 于 设置 BIND 服务 器 的 卫 地 址 ， 用 于 DNS 客户 端 
解析 。 可 用 nameserver 语句 来 指定 3 台 DNS 服务 器 。 客 户 端 是 按照 DNS 服务 器 在 文件 中 
的 顺序 进行 查询 的 ， 如 果 没 有 接收 到 DNS 服务 器 的 响应 ， 就 去 尝试 向 下 一 台 服 务 器 查 
询 ， 直 到 试 完 所 有 的 服务 器 为 止 ， 所 以 应 该 将 速度 最 快 、 最 可 靠 的 DNS 服务 器 列 在 最 前 
面 ， 以 保证 在 查询 时 不 会 超时 。 


6.7.2 Windows 中 DNS 客户 端的 配置 


Windows 下 配置 DNS 客户 端的 方法 比较 简单 ， 在 Windows 环境 下 设置 DNS 方法 大 
同 小 异 ， 下 面 就 以 配置 Windows 7 的 DNS 客户 端 为 例 来 说 明 具 体 的 操作 步骤 。 
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(1) 选择 “开始 ”一 “控制 面板 ”一 “网 络 和 共享 中 心 ”， 打 开 图 6-7 所 示 的 “网 络 
和 共享 中 心 ”窗口 。 
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6-7 Windows 7 的 “网 络 和 共享 中 心 ” 窗 口 
(2) 单 击 需要 配置 DHCP 的 网 卡 所 对 应 的 本 地 连接 ， 打 开 如 图 6-8 所 示 “ 本 地 连接 属 
(3) 双击 “Intemet 协议 版 本 4(TCP/IPv4)” 打 开 人 P 地 址 配置 对 话 框 ， 如 图 6-9 所 示 。 


Li 起 | 名 
加持 网 强 支 持 此 功 1 司 以 获取 自 ; 媚 的 设 团 。 理 则 , 
这 村 全 用 : UE 人 
Realtek ILE139/B10x Fantly Post Erherner MIC 
RD) 加 自动 和 得 IP 地 址 人) 
此 连 所 他 用 下 列 枯 目 (0): 


芯 用 下 面 的 ITP 地 址 [S) : 


己 灾 陵 本 4 《TCP/IPyt 
也 二 链 赚 居 折 扑 央 现 瞎 射 器 IJO 驱动 程 斥 
怠 二 链 由 呈 打 扑 兴 现 响 应 程序 


加 自动 获得 DNS 拖 务 器 地 址 [2) 
芝 用 下 面 的 D8S 服务 当地 址 {F): 


"il 此 
ER 部 回 (0D 属性 (R) 


En 
刻 许 信 的 计算 机 访问 icrosoft 网 络 上 的 资源 。 
退出 时 多 证 识 筷 CL》 高 六 (V),，， 
i 取 湖 


图 6-8 Windows 7 的 “本 地 连接 属性 ”对 话 框 ”图 6-9 “Intemet 协 议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 


(4) 选中 “使 用 下 面 的 DNS 服务 器 地 址 ” 单 选 按 钮 ， 在 “首选 DNS 服务 器 ” 和 “ 备 
用 DNS 服务 器 ”中 输入 DNS 服务 器 的 他 地 址 ， 然 后 单 击 “ 确 定 ” 按 钮 。 
(5) 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 Windows 7 下 的 DNS 客户 端的 配置 。 


6.8 BIND 域名 服务 器 的 配置 步骤 


BIND 服务 器 的 配置 方法 有 两 种 : 一 种 是 基于 普通 模式 ， 另 一 种 是 基于 chroot 模式 。 
chroot 模式 具有 更 好 的 安全 性 ， 故 下 面 主要 针对 chroot 模式 介绍 BIND 服务 的 配置 
步骤 。 
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(1) 查询 是 否 已 经 安装 bind-chroot* 软 件 包 ， 如 未 安装 ， 则 安装 此 软件 包 。 

(2) 修改 /var/named/chroot/etc/named.conf 主 配置 文件 ， 修 改 其 相应 的 授权 。 

(3) 修改 /var/named/chroot/etc/named.rfc1912.zones 文件 ， 添 加 其 对 应 的 正 向 、 反 向 
区 域 。 

(4) 在 /var/named/chroot/var/named 目录 下 创建 区 域 所 对 应 的 数据 库 文件 ， 并 向 数据 库 
文件 中 添加 所 需 的 记录 。 

(5) 启动 BIND 服务 。 

(6) 修改 BIND 客户 端 配 置 文 件 ， 指 定 BIND 服务 器 。 

(7) 测试 域名 服务 器 。 


6.9 BIND 主 域名 服务 器 配置 案例 


本 节 通 过 测试 案例 ， 主 要 讲解 正 向 域名 解析 配置 、 反 向 域名 解析 配置 、 域 名 负载 均衡 
配置 、 域 名 直接 解析 配置 、 泛 域名 解析 配置 等 。 


6.9.1 正 向 域名 解析 配置 


【 例 6-1】 配 置 一 个 正 向 DNS 域名 服务 器 ， 要 求 域名 为 testedu.cn，DNS 服务 器 地 址 
为 192.168.0.104，DNS 服务 器 主机 名 为 ns.testedu.cn。 同 时 要 求 DNS 能 够 为 主页 服务 器 
192.168.0.110(ww.testedu.cn)、 邮 件 服务 器 192.168.0.111(mail.testedu.cn，pop.testedu.cn，, 
smtp.testedu.cn) 、FTP 服务 器 192.168.0.112(ftp.testedu.cn) 和 文件 服务 器 192.168.0.113 
(file.testedu.cn) 进 行 解析 。 

具体 操作 步骤 如 下 所 示 。 

(1) 进入 到 配置 文件 目录 ， 打 开 named.conf 配置 文件 : 


# cd /var/named/chroot/etc/ // 进 入 到 配置 文件 目录 
# vi named.conf // 用 vi 编辑 器 打开 配置 文件 


修改 named.conf 主 配置 文件 内 容 : ( 带 注释 语句 为 修改 内 容 ) 


options { 
listen-on port 53 { 192.168.0.104; }; // 修 改 为 本 地 IP 地 址 
// listen-on-v6 port 53 { ::1; }; // 禁 用 IPv6 监听 
directory "/var/named"; 
dump-file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
allow-query { any; }; // 将 localhost 更 改 为 any 
allow-query-cache { localhost; }; 


La 
logging { 
channel default debug { 
file "data/named.run™"; 
severity dynamic; 
}; 
] 7 
View localhost resolver { 
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match-clients Lay // 将 localhost 更 改 为 any 


match-destinations { any; }; // 将 localhost 更 改 为 any 
recursion yes; 


include "/etc/named.rfc1912.zones"; 
] 7 


(2) 修改 named.rfc1912.zones 配置 文件 ， 并 在 文件 末尾 添加 如 下 内 容 : 


Zone "testedu.cn" IN { 
type master; 
file "db.testedu.cn"; 
j 


(3) 创建 正 向 区 域 数据 库 文件 ， 区 域 数据 库 文件 名 为 db.testedu.cn， 并 对 其 进行 编辑 : 


# cd /var/named/chroot/var/named/ 
# cp localhost.zone db.testedu.cn 
# vi db.testedu.cn 


(4) 修改 db.testedu.cn 区 域 数据 库 文件 ， 修 改 内 容 如 下 : 


$TTL 86400 


Q@ IN SOR @ ns.testedu.cn. ( 
42 ; serial (d. adams) 
3H 7 refresh 
15M 7 retry 
1W ; expiry 
1D ) ; minimum 
@ IN NS ns.testedu.cn. 
ns.testedu.cn. IN A 192.168.0.104 
www.testedu.cn. IN A 192.168.0.110 
mail.testedu.cn. IN A 192.168.0.111 
smtp.testedu.cn. IN A L992.16850:111 
pop.testedu.cn. IN A L923:160.0.111 
ftp.testedu.cn. IN A 192.1680:0.112 
file.testedu.cn. IN A 192.169.0.113 
@ IN MX 10 mail.testedu.cn. 


(5) 更 改 区 域 数据 库 文件 所 属 的 组 ， 使 其 能 够 正确 地 被 named 进程 读 取 : 


# chgrp named db.testedu.cn 


(6) 启动 DNS 服务 ， 检 查 DNS 启动 是 否 正 常 : 


# service named start 


启动 named: [确定 ] 
# netstat -an | grep :53 

tcp 0 0 192 160.47.129553 0:0.0850:* 
LISTEN 

udp 0 0 192.168.47.129:53 fs GD 二 
udp 0 00.0.0.0:5353 000503 
udp 0 0 5353 2 


(7) 切换 至 DNS 客户 端 所 在 机 器 ， 修 改 DNS 客户 端 文件 : 


# echo "nameserver 192.168.0.104" > /etc/resolv.conf 
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(8) 测试 主机 与 域名 


# host -1 testedu.cn 


显示 结果 如 下 。 由 显示 结果 可 知 ， 已 成 功 将 域名 解析 成 对 应 的 卫 地 址 。 


testedu.cn name server ns.testedu.cn. 
file.testedu.cn has address 192.168.0.113 
ftp.testedu.cn has address 192.168.0.112 
mail.testedu.cn has address 192.168.0.111 
ns.testedu.cn has address 192.168.0.104 
pop.testedu.cn has address 192.168.0.111 
smtp.testedu.cn has address 192.168.0.111 
www.testedu.cn has address 192.168.0.110 


(9) 测试 邮件 交换 服务 器 


# host -t mx testedu.cn 


显示 结果 如 下 所 示 : 


testedu.cn mail is handled by 10 mail.testedu.cn. 


由 结果 可 知 ， 邮 件 服务 器 的 级 别 10， 邮 件 服务 器 域名 为 testedu.cn， 邮 件 服务 器 主机 
名 为 mail.testedu.cn。 


逮 注意 : 在 区 域 数 据 库 文件 中 ， 所 采用 的 域名 应 为 完全 规范 域名 FQDN ，Fully 
Qualified Domain Name) 即 主机 名 + 域名 + 点 号 ， 也 就 是 说 每 一 个 域名 后 面 都 
会 有 一 个 点 号 。 


6.9.2 ” 反 向 域名 解析 配置 


【 例 6-2】 配 置 一 个 反 向 DNS 域名 服务 器 ， 要 求 直接 将 输入 的 人 P 地 址 解析 成 域名 ， 
域名 为 testeducn 。BIND 服务 器 地 址 为 192.168.0.104 ，BIND 服务 器 主机 名 为 
ns.testedu.cn。 同 时 要 求 BIND 服务 能 为 例 6-1 中 的 各 个 域名 提供 逆向 解析 服务 。 

具体 操作 如 下 : 
(1) 打开 /etc/named.rfc1912.zones 配置 文件 进行 编辑 : 


# cd /var/named/chroot/etc/ 
# vi named.rfc1912.zones 


(2) 修改 named.rfc1912.zones 文件 ， 文 件 末 尾 添加 内 容 如 下 : 


zone"0.168.192.in-addr.arpa" IN{ 
type master; 
file"rev.testedu.cn"; 


je 
(3) 创建 反 向 区 域 数据 库 文件 ， 区 域 数 据 库 文件 名 为 rev.testedu.cn: 


# cd /var/named/chroot/var/named 
# cp named.local rev.testedu.cn 
# vi rev.testedu.cn 
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(4) 修改 rev.testedu.cn 文件 ， 修 改 内 容 如 下 : 


$TTL 86400 

@ IN SOA 
@ IN NS 
104 IN PTR 
110 IN PTR 
111 IN PTR 
111 IN PTR 
111 IN PTR 
112 IN PTR 
113 IN PTR 


ns.testedu.cn. 


root.testedu.cn. ( 


1997022700 ; Serial 
28800 ; Refresh 
14400 7 Retry 
3600000 7 Expire 
86400 ) ; Minimum 


ns.testedu.cn. 
ns.testedu.cn. 
Wwww.testedu.cn. 
mail.testedu.cn. 
smtp.testedu.cn. 
pop.testedu.cn. 
ftp.testedu.cn. 
file.testedu.cn. 


(5) 更 改 区 域 数据 库 文 件 所 属 的 组 ， 使 其 能 够 正确 地 被 named 进程 读 取 : 


# chgrp named rev.testedu.cn 


(6) 重启 BIND 服务 ， 检 查 BIND 是 否 启 动 成 功 : 


# service named restart 


停止 named: [确定 ] 
启动 named: [确定 ] 
# netstat -an | grep :53 

tcp 0 G 192.168.47.129:53 站 加 ,本 从 二 
LISTEN 

udp 0 全 9 人 -6582472953 人 wb 村 2 
udp 0 0 0.0.0.0:5353 DO-00r. 
udp 0 0 353 人 

(7) 修改 DNS 客户 端 配 置 文 件 : 

echo "nameserver 192.168.47.129" > /etc/resolv.conf 


(8) 解析 反 向 域名 测试 : 


# host 192.168.0.104 


104.0.168.192.in-addr. 


# host 192.168.0.111 


111.0.168.192.in-addr. 
111.0.168.192.in-addr. 
111.0.168.192.in-addr. 


arpa 


arpa 
arpa 
arpa 


domain 


domain 
domain 
domain 


name pointer 


name pointer 
name pointer 
name pointer 


ns.testedu.cn. 


smtp.testedu.cn. 
pop.testedu.cn. 
mail.testedu.cn. 


由 以 上 结果 可 知 ， 通 过 IP 地 址 已 经 成 功 地 解析 出 其 所 对 应 的 域名 。 在 进行 反 向 域名 
配置 时 ， 也 需要 注意 区 域 数据 库 文件 中 的 域名 应 采用 完全 规范 域名 。 


6.9.3 域名 负载 均衡 配置 


目前 网 络 的 规模 与 用 户 数量 急剧 膨胀 ， 网 络 服务 器 的 负担 也 变 得 越 来 越 重 。 一 台 服 务 
器 要 同时 应 付 大 量 用 户 的 并 发 访问 ， 必 然 会 出 现 服务 器 运行 效率 变 低 ， 响 应 时 间 过 长 的 结 


果 。 通 过 DNS 可 以 简单 实现 负载 均衡 的 功能 。DNS 负载 均衡 的 优点 是 经 济 简单 易 行 ， 


[4 


已 


在 DNS 服务 器 中 为 同一 个 域名 配置 多 个 IP 地 址 ( 即 为 一 个 主机 名 设置 多 条 A 资源 记录 )， 
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在 应 答 DNS 查询 时 ，DNS 服务 器 对 每 个 查询 将 以 DNS 文件 中 主机 记录 的 P 地 址 按 随机 
顺序 返回 不 同 的 解析 结果 ， 将 客户 端的 访问 引导 到 不 同 的 计算 机 上 去 ， 使 得 不 同 的 客户 端 
访问 不 同 的 服务 器 ， 从 而 达到 负载 均衡 的 目的 。 

例如 ， 将 www.testedu.cn 域名 对 应 3 台 WWW 服务 器 主机 ， 通 过 配置 域名 负载 均 
衡 ， 随 即 进行 域名 解析 。 例 如 ， 用 户 A 访问 www.testedu.cn 域名 时 ， 域 名 服务 器 可 能 解 
析出 第 3 台 服 务 器 的 人 P 地 址 让 其 访问 ; 用 户 B 访问 域名 时 ， 域 名 服务 器 可 能 解析 第 1 台 
服务 器 耳 ; 用 户 C 访问 时 ， 域 名 服务 器 可 能 解析 出 第 2 台 服 务 器 全 ， 通 过 这 种 方式 将 客 
户 端的 集中 访问 分 散 到 3 台 不 同 的 服务 器 上 ， 起 到 了 一 定 的 负载 均衡 作用 。 

但 是 域名 的 负载 均衡 并 不 是 真正 意义 上 的 负载 均衡 ， 它 无 法 有 效 的 检测 3 台 服 务 器 的 
负载 情况 。 可 能 会 出 现 第 2 台 服 务 器 经 常 被 解析 而 第 1 台 服 务 器 很 少 被 解析 的 情况 ， 甚 
至 服务 器 宕 机 后 不 能 及 时 作出 改变 ， 出 现 客户 端 时 而 能 访问 网 站 ， 时 而 又 不 能 访问 网 站 的 
情况 。 

下 面 通过 实例 的 方式 讲解 域名 负载 均衡 的 配置 。 假 设 www.testedu.cn 的 3 台 WWW 
服务 器 主机 IP 地 址 分 别 是 : 192.168.0.110、192.168.0.120、192.168.0.130。 可 以 采用 以 下 
方式 进行 配置 ， 具 体 配 置 步 又 如 下 。 

编辑 区 域 数 据 库 文 件 “db.testedu.cn”， 文 件 中 加 入 以 下 语句 : 


Www.testedu.cn. IN A 192.168.0.110 
www.testedu.cn. IN A 192.168.0.120 
Www.testedu.cn. IN A 192.168.0.130 

重启 BIND 服务 : 

# service named restart 

停止 named: [确定 ] 
启动 named: [确定 ] 
使 用 host 命令 进行 测试 : 

# host www.testedu.cn 

返回 结果 如 下 所 示 : 


www.testedu.cn has address 192.168.0.110 

www.testedu.cn has address 192.168.0.120 

www.testedu.cn has address 192.168.0.130 

以 上 结果 表明 使 用 www.testedu.cn 域名 能 够 解析 出 3 个 不 同 的 卫 地 址 ，DNS 负载 均 
衡 已 经 配置 成 功 。 

使 用 ping 命令 进行 测试 : 

# ping www.testedu.cn 

PING www.testedu.cn (192.168.0.130) 56(84) bytes of data. 


--- Www.testedu.cn ping statistics --—— 
3 packets transmitted, 0 received, 100% packet loss, time 2012ms 


第 1 次 测试 解析 到 了 192.168.0.130 的 他 地 址 。 


[root@bogon named]# ping www.testedu.cn 
PING www.testedu.cn (192.168.0.120) 56(84) bytes of data. 
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--- Www.testedu.cn ping statistics -—— 
2 packets transmitted，0 received, 100% packet loss, time 999ms 


第 2 次 测试 解析 到 了 192.168.0.120 的 瑟 地址。 


[root@bogon named]# ping www.testedu.cn 
PING www.testedu.cn (192.168.0.110) 56(84) bytes of data. 


——— WWww.testedu.cn ping statistics --—— 
2 packets transmitted, 0 received, 100% packet loss, time 999ms 


第 3 次 测试 解析 到 了 192.168.0.110 的 他 地 址 。 
# ping www.testedu.cn 


PING www.testedu.cn (192.168.0.130) 56(84) bytes of data. 


--- www.testedu.cn ping statistics --— 
3 packets transmitted, 0 received, 100% packet loss, time 1999ms 


第 4 次 测试 解析 到 了 192.168.0.130 的 卫 地 址 。 


# ping www.testedu.cn 
PING www.testedu.cn (192.168.0.120) 56(84) bytes of data. 


第 5 次 测试 解析 到 了 192.168.0.120 的 卫 地 址 。 


--- Www.testedu.cn ping statistics ---— 
3 packets transmitted, 0 received, 100% packet loss, time 1999ms 


由 以 上 结果 可 知 ，DNS 均衡 配置 已 经 生效 ， 配 置 完成 。 


6.9.4 域名 直接 解析 配置 


许多 用 户 有 直接 使 用 域名 访问 Web 网 站 的 习惯 ， 即 在 浏览 器 中 不 愿 输入 
“wwwo.testedu.cn”， 而 直接 输入 “tested.cn” 来 访问 。 然 而 ， 并 不 是 所 有 的 Web 网 站 都 
支持 这 种 访问 方式 ， 只 有 DNS 服务 器 能 直接 解析 这 种 域名 的 网 站 才 可 以 。 
DNS 服务 器 默认 只 能 解析 完全 规范 域名 FQDN， 不 能 直接 将 域名 解析 成 他 地址。 为 
了 方便 用 户 访问 ， 可 以 在 DNS 服务 器 的 区 域 文件 中 加 入 下 面 一 条 特殊 的 A 资源 记录 ， 以 
便 支持 实现 直接 解析 域名 功能 ， 具 体 步骤 如 下 。 
(1) 在 区 域 数据 库 “db.testedu.cn” 文 件 尾部 加 入 以 下 语句 : 


@ IN A 192.168.0.110 


(2) 重新 启动 BIND 服务 : 


# service named restart 
停止 named: [确定 ] 
启动 named: [确定 ] 


(3) 使 用 host 命令 进行 解析 : 


# host testedu.cn 


显示 结果 如 下 所 示 : 


testedu.cn has address 192.168.0.110 
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完成 以 上 配置 后 ， 用 户 在 浏览 器 输入 “testedcn” 域 名 时 ， 就 可 以 直接 访问 到 
192.168.0.110 这 人 台 主 页 服务 器 了 。 


6.9.5 泛 域 名 解析 配置 


有 些 时候 ， 用 户 输入 域名 访问 某 些 网 站 的 时 候 ， 可 能 会 出 现 写 错 主机 名 或 漏 写 的 情况 。 
如 本 应 写成 “www.testedu.cn” 的 域名 写成 了 “wwww.testedu.cn” 或 者 “ww .testedu.cn” 
造成 用 户 无 法 访问 网 站 。 此 时 可 采用 泛 域名 解析 解决 这 个 问题 。 泛 域名 是 指 一 个 域名 下 的 
所 有 主机 和 子 域名 都 被 解析 到 同一 个 人 P 地 址 上 。 

可 以 在 DNS 服务 器 的 区 域 文件 末尾 加 入 下 面 一 条 特殊 的 A 资源 记录 (符号 “*” 是 代 
表 任 何 字 符 的 通配符 )， 以 便 支持 实现 泛 域名 解析 功能 。 具 体 做 法 如 下 。 

(1) 在 区 域 数据 库 文件 db.testedu.cn 末尾 添加 以 下 语句 : 


* ,testedu. ch. IN A 192.168.0.120 
或 者 添加 : 
IN A 192.168.0.120 


(2) 重新 启动 BIND 服务 : 

# service named restart 

停止 named: [确定 ] 
启动 named: [确定 ] 
(3) 使 用 host 命令 进行 解析 : 


# host ww.testedu.cn 
ww.testedu.cn has address 192.168.0.110 


# host wwww.testedu.cn 
Wwww.testedu.cn has address 192.168.0.110 


# host testaaa.testedu.cn 
testaaa.testedu.cn has address 192.168.0.110 


由 上 述 结果 可 以 看 出 ， 配 置 了 泛 域名 解析 后 ， 对 于 区 域 数 据 库 中 不 存在 的 域名 进行 解 
析 时 ， 其 解析 出 来 的 卫 地 址 都 会 指向 泛 域 名 解析 所 指定 的 瑟 地 址 。 


狂 注意 :” 泛 域名 解析 只 能 针对 域名 中 的 任意 主机 名 进行 解析 ， 如 果 用 户 输 入 的 域名 错 
误 的 话 是 不 能 解析 成 功 的 。 例 如 ， 用 户 输入 “www.testeducn” 的 话 是 无 法 
解析 出 卫 地址 的 。 


6.10 ”辅助 域名 服务 器 配置 案例 


当主 域名 服务 器 的 负载 超过 一 定 限额 时 ， 就 应 该 使 用 辅助 域名 服务 器 ， 以 缓解 主 域名 
服务 器 的 压力 。 当 主 域名 服务 器 出 现 死机 或 者 故障 时 ， 辅 助 域名 服务 器 还 可 以 提供 主 域名 
服务 器 的 功能 。 辅 助 名 称 服务 器 也 可 以 向 客户 机 提供 域名 解析 功能 ， 但 它 与 主要 名 称 服务 
器 不 同 的 是 ， 它 的 数据 不 是 直接 输入 的 ， 而 是 从 其 他 域名 服务 器 ( 主 域名 服务 器 或 其 他 的 
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辅助 域名 服务 器 ) 中 复制 过 来 的 ， 所 以 辅助 名 称 服务 器 中 的 数据 无 法 被 修改 。 
当 启 动 辅助 域名 服务 器 时 ， 它 会 和 主 域名 服务 器 建立 联系 ， 并 从 中 复制 数据 。 在 辅助 
域名 服务 器 工作 时 ， 还 会 定期 地 与 主 域名 服务 器 同步 ， 保 证 副本 与 正本 数据 的 一 致 性 。 在 
大 型 网 络 中 ， 经 常设 置 多 台 辅 助 域名 服务 器 ， 具 有 以 下 优点 : 
e@ ”提供 容错 能 力 。 当 主 域名 服务 器 发 生 故 障 时 ， 由 辅助 域名 服务 器 提供 服务 。 
@ ”分 担 主 域名 服务 器 的 负担 。 在 DNS 客户 端 较 多 的 情况 下 ， 通 过 架设 辅助 域名 服 
务 器 完成 对 客户 端的 查询 服务 ， 可 以 有 效 地 减轻 主 域名 服务 器 的 负担 。 

@ ”加 快 解析 的 速度 。 对 于 一 些 大 型 网 络 ， 可 通过 在 本 地 局 域 网 架设 辅助 域名 服务 器 
的 方式 解决 用 户 访问 大 型 网 络 的 主 域名 服务 器 缓慢 的 问题 ， 减 少 DNS 查询 的 外 
网 通信 量 ， 加 快 了 DNS 解析 的 速度 。 

辅助 名 称 服务 器 的 主 配置 文件 是 /etcnamed.conf， 也 需要 设置 服务 器 的 选项 和 根 区 
域 ， 方 法 与 配置 主要 名 称 服务 器 的 方法 相同 。 在 配置 辅助 名 称 服务 器 时 ， 只 需要 提供 区 域 
名 和 主要 名 称 服务 器 的 P 地 址 ， 因 为 一 个 辅助 名 称 服务 器 不 需要 在 本 地 建立 各 种 资源 记 
录 ， 而 是 通过 一 个 区 域 复制 过 程 来 得 到 主要 名 称 服务 器 上 的 资源 记录 。 下 面 通过 实例 来 讲 
解 设置 方法 。 

【 例 6-3】 主 域名 服务 器 的 域名 为 testedu.cn，IP 地 址 为 192.168.0.104; 现 需 要 在 人 P 
地 址 为 192.168.0.103 的 服务 器 上 设置 辅助 域名 服务 器 。 具 体操 作 步 又 如 下 。 

(1) 在 主 域名 服务 器 上 修改 BIND 主 配置 文件 /var/named/chroot/etc/named.conf。 在 
option 选项 中 添加 辅助 域名 服务 器 他 地 址 如 下 所 示 : 


allow-transfer{192.168.0.103;}; 


(2) 在 主 域名 服务 器 上 修改 /etc/named.rfc1912.zones 文件 ， 修 改 后 的 区 域内 容 如 下 : 


Zone "testedu.cn" IN { 
type master; 
file "db.testedu.cn"; 
allow-update {none;}; 
}; 


zone "0.168.192.in-addr.arpa" IN{ 
type master; 
file"rev.testedu.cn"; 
allow-update {none;}; 

}; 


(3) 设置 主 域名 服务 器 耻 、DNS 地 址 ， 重 启 BIND 服务 : 


# ifconfig eth0 192.168.0.104 // 设 置 主 域名 服务 器 IP 地 址 
# service named restart // 重 启 named 服务 
# echo "nameserver 192.168.0.104" >/etc/resolv.conf // 设 置 DNS 


(4) 测试 主 域名 服务 器 : 


# host -1 testedu.cn // 正 向 域名 解析 测试 
testedu.cn has address 192.168.0.110 

testedu.cn name server ns.testedu.cn. 

*.testedu.cn has address 192.168.0.110 

file.testedu.cn has address 192.168.0.113 
ftp.testedu.cn has address 192.168.0.112 
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mail.testedu.cn has address 192.168.0.111 
ns.testedu.cn has address 192.168.0.104 

pop.testedu.cn has address 192.168.0.111 
smtp.testedu.cn has address 192.168.0.111 
wwwW.testedu.cn has address 192.168.0.110 
Wwww.testedu.cn has address 192.168.0.120 
Wwww.testedu.cn has address 192.168.0.130 


# host 192.168.0.111 // 反 向 域名 解析 测试 
111.0.168.192.in-addr.arpa domain name pointer smtp.testedu.cn. 
111.0.168.192.in-addr.arpa domain name pointer pop.testedu.cn. 
111.0.168.192.in-addr.arpa domain name pointer mail.testedu.cn. 


(5) 配置 一 台新 辅助 域名 服务 器 ， 进 入 到 配置 文件 目录 ， 打 开 named.conf 配置 文件 : 


# cd /var/named/chroot/etc/ // 进 入 到 配置 文件 目录 
# vi named.conf // 用 vi 编辑 器 打开 配置 文件 
修改 named.conf 主 配 置 文件 内 容 : ( 带 注释 语句 为 修改 内 容 ) 
options { 
listen-on port 53 { 192.168.0.103; }; // 修 改 为 本 地 IP 地 址 
i listen-on-v6 port 53 { ::1; }; // 禁 用 IPv6 监听 
directory "/var/named"; 
dump-file "/var/named/data/cache dump.db"; 


statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
allow-query { any; }; // 将 localhost 更 改 为 any 
allow-query-cache { localhost; }; 
3 
logging { 
channel default debug { 
file "data/named.run"; 
severity dynamic; 
}; 
}; 
View localhost resolver { 
match-clients 1 Any // 将 localhost 更 改 为 any 
match-destinations { any; }; // 将 localhost 更 改 为 any 
recursion yes; 
include "/etc/named.rfc1912.zones"; 
}; 


(6) 配置 辅助 域名 服务 器 ， 修 改 named.rfc1912.zones 主 配置 文件 。 在 文件 末尾 加 入 以 
下 内 容 : 


Zone "testedu.cn" IN { 
type slave; 
file "slaves/db.testedu.cn"; 
masters{192.168.0.104;}; 

] 7 


zone "0.168.192.in-addr.arpa" IN{ 
type slave; 
file"slaves/rev.testedu.cn"; 
masters{192.168.0.104;}; 

] 7 
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(7) 设置 辅助 域名 服务 器 全、DNS 地 址 ， 启 动 BIND 服务 : 


# ifconfig eth0 192.168.0.103 // 设 置 主 域名 服务 器 IP 地 址 
# service named start / /重启 named 服务 
# echo "nameserver 192.168.0.103" >/etc/resolv.conf  /// 设 置 辅助 域名 DNS 


(8) 测试 辅助 域名 服务 器 : 


# host -1 testedu.cn // 正 向 域名 解析 测试 
testedu.cn has address 192.168.0.110 
testedu.cn name server ns.testedu.cn. 
*.testedu.cn has address 192.168.0.110 
file.testedu.cn has address 192.168.0.113 
ftp.testedu.cn has address 192.168.0.112 
mail.testedu.cn has address 192.168.0.111 
ns.testedu.cn has address 192.168.0.104 
pop.testedu.cn has address 192.168.0.111 
smtp.testedu.cn has address 192.168.0.111 
www.testedu.cn has address 192.168.0.110 
www.testedu.cn has address 192.168.0.120 
www.testedu.cn has address 192.168.0.130 


# host 192.168.0.111 // 反 向 域名 解析 测试 
111.0.168.192.in-addr.arpa domain name pointer smtp.testedu.cn. 


111.0.168.192.in-addr.arpa domain name pointer pop.testedu.cn. 
111.0.168.192.in-addr.arpa domain name pointer mail.testedu.cn. 


以 上 结果 表明 辅助 域名 服务 器 测试 正常 ， 配 置 完成 。 
6.11 ”高 速 缓存 域名 服务 器 配置 案例 


高 速 缓存 服务 器 主要 用 于 域名 缓存 ， 无 需 创建 区 域 或 者 区 域 数据 库 文件 ， 只 需 将 其 启 


器 处 理 ， 但 是 DNS 客户 端 仍然 可 以 向 它 请求 查 询 。 当 只 缓存 服务 器 从 其 他 DNS 服务 器 收 


到 查询 结果 后 ， 除 了 返回 给 客户 机 外 ， 还 会 将 结果 保存 在 缓存 中 。 当 下 一 个 DNS 客户 端 


再 查询 相同 的 域名 数据 时 ， 就 可 以 从 高 速 缓存 中 得 到 结果 ， 从 而 加 快 对 DNS 客户 端的 响 
应 速度 。 如 果 在 局 域 网 中 建立 一 台 这 样 的 DNS 服务 器 ， 就 可 以 提高 客户 机 DNS 的 查询 效 
率 并 减少 内 部 网 络 与 外 部 网 络 的 流量 。 


架设 只 缓存 服务 器 非常 简单 ， 只 需要 建立 主 配置 文件 named.conf 即 可 。 下 面 利用 实 


例 进行 具体 说 明 。 


【 例 6-4】 主 域名 服务 器 的 域名 为 testedu.cn，IP 地 址 为 192.168.0.104; 现 需 要 在 他 


地 址 为 192.168.0.105 的 服务 器 上 部 署 高 速 缓存 服务 器 。 具 体操 作 步 又 如 下 。 


(1) 配置 一 台新 的 高 速 缓存 服务 器 ， 修 改 其 主 配置 文件 named.conf， 如 下 所 示 : 
options { 

listen-on port 53 { 192.168.0.105; }; 

forwarders { 192.168.0.104;}; 转 发 到 192.168.0.104 DNS 服务 器 进行 查询 


forward only; ;只 转发 ， 自 己 不 提供 解析 服务 
¢f listen-on-v6 port 53 { ::1; }; 
directory "/var/named"; 


dump-file "/var/named/data/cache dump.db"; 
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statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 

// Those options should be used carefully because they disable port 
// randomization 
// query-source port 53; 
// query-source-v6 Port 53; 


allow-query { any; }; 
allow-query-cache { localhost; }; 
$s 
logging { 
channel default debug { 
file "data/named.run"; 
severity dynamic; 
] 7 
ye 
View localhost resolver { 
match-clients { any; }; 
match-destinations { any; }; 
recursion yes; 
include "/etc/named.rfc1912.zones"; 
}; 


(2) 设置 高 速 缓存 域名 服务 器 全 、DNS 地 址 ， 启 动 BIND 服务 : 


# ifconfig eth0 192.168.0.105 // 设 置 主 域名 服务 器 IP 地 址 
# service named start / /重启 named 服务 
# echo "nameserver 192.168.0.105" >/etc/resolv.conf  // 设 置 辅助 域名 DNS 


(3) 测试 高 速 缓存 域名 服务 器 ; 


# host -1 testedu.cn // 正 向 域名 解析 测试 
testedu.cn has address 192.168.0.110 
testedu.cn name server ns.testedu.cn. 
*.testedu.cn has address 192.168.0.110 
file.testedu.cn has address 192.168.0.113 
ftp .testedu.cn has address 192.168.0.112 
mail.testedu.cn has address 192.168.0.111 
ns.testedu.cn has address 192.168.0.104 
pop.testedu.cn has address 192.168.0.111 
smtp.testedu.cn has address 192.168.0.111 
www.testedu.cn has address 192.168.0.110 
www.testedu.cn has address 192.168.0.120 
Wwww.testedu.cn has address 192.168.0.130 


# host 192.168.0.111 // 反 向 域名 解析 测试 
111.0.168.192.in-addr.arpa domain name pointer smtp.testedu.cn. 
111.0.168.192.in-addr.arpa domain name pointer pop.testedu.cn. 
111.0.168.192.in-addr.arpa domain name pointer mail.testedu.cn. 


以 上 结果 表明 ， 高 速 缓存 服务 器 测试 正常 ， 配 置 成 功 。 
6.12 本 章 小 结 


DNS 是 Intemet 上 必 不 可 少 的 一 种 网 络 服务 ， 它 提供 把 域名 解析 为 卫 地 址 的 服务 ， 
是 网 络 中 的 计算 机 都 必须 要 使 用 的 服务 之 一 。 本 章 首先 介绍 了 DNS 的 工作 原理 ， 然 后 介 


180 Linux 网 络 技术 基础 


绍 了 用 BIND 软件 架设 DNS 服务 器 的 方法 ， 包 括 BIND 的 安装 、 运 行 和 配置 ， 以 及 
chroot、 负 载 均衡 、 泛 域名 、 辅 助 域名 服务 器 、 只 缓存 服务 器 等 特殊 功能 的 配置 方法 。 最 
后 给 出 了 主 域 名 服务 器 、 辅 助 域名 服务 器 、 高 速 缓存 服务 器 的 综合 实例 ， 方 便 读 者 学 习 和 
实验 。 


6.13 课 后 习题 
1. 填空 题 
(1) DNS 的 主要 作用 是 提供 的 转换 。 
(2) 使 用 命令 查询 named 进程 是 否 运 行 。 
(3) 区 域 数据 库 文件 分 为 三 种 。 
2. 选择 题 


(1) testedu.com 公司 的 网 络 管理 员 ， 在 Linux 工作 站 上 安装 了 BIND 软件 ， 配 置 实现 
了 DNS 服务 ， 辅 助 域 名 服务 器 。 在 工作 站 上 的 named.conf 文件 中 ，BENET.COM 区 域 的 
类 型 是 (  )。 
A. master B. hint C. slave D. server 
(2) 应 用 层 DNS 协议 主要 用 于 实现 ( 。“”) 网 络 服务 功能 。 
A. 网 络 设备 名 字 到 人 P 地 址 的 映射 ”B. 网 络 硬件 地 址 到 人 地 址 的 映射 
C. 进程 地 址 到 全 地址 的 映射 D. 用 户 名 到 进程 地 址 的 映射 
(3) 测试 DNS 主要 使 用 以 下 ( “) 命 令 。 
A. Ping B. Ipcofig C. nslookup D. Winipcfg 
(4) CentOS 5 中 ， 默 认 情 况 下 DNS 区 域 数据 文件 保存 在 (  ) 目 录 中 。 
A. /etc/named B. /var/named C. /etc/bind D. /var/bind 
(5) 下 列 (  ) 命 令 用 来 在 DNS 配置 文件 中 定义 名 称 查询 转发 。 
A. allowquery  B. allowupdate C. forwarder D. forwarders 
(6) 在 CentOS 5 系统 中 构建 BIND 服务 器 ， 并 能 够 正确 解析 www.benet.com 的 全 地 
请 问 ( 。”) 类 型 的 BIND 服务 器 需要 在 本 机 保存 benet.com 区 域 的 数据 库 文 件 。 
A. 缓存 域名 服务 器 B. 主 域名 服务 器 
C. 从 域名 服务 器 D. 转发 域名 服务 器 
(7) 下 列 ( ””) 命 令 可 以 用 来 进行 DNS 查询 。 
A. nslookup B. dig C. query D. host 
(8) 如 果 要 限制 DNS 查询 的 范围 ， 需 要 在 DNS 主 配 置 文件 中 加 入 ( 。”) 语 句 。 
A. allowtrans B. allowquery C. allowupdate D. acl 


3. 简 答题 


(1) 简 述 DNS 服务 器 的 工作 过 程 。 
(2) 什么 是 域名 解析 ? 
(3) 简 述 DNS 递归 解析 的 过 程 。 


址 


文件 共享 是 网 络 环境 下 计算 机 最 常用 的 功能 之 一 。 在 第 5 章 
中 ， 我 们 介绍 了 一 种 可 在 Linux/Unix 主机 之 间 方 便 共享 文件 的 NFS 
服务 。 本 章 将 介绍 的 Samba 服务 是 一 种 可 在 Windows、Linux、Unix 
三 种 操作 系统 共享 文件 的 服务 。 
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7.1 Samba 服务 概述 


在 Linux/Unix 系统 中 共享 文件 ， 我 们 可 以 使 用 NFS 服务 来 完成 ， 客 户 端 可 以 很 方便 
地 将 服务 器 资源 挂 载 到 本 地 目录 上 面 ， 像 使 用 本 地 资源 一 样 使 用 服务 器 资源 。 在 
Windows/DOS 的 操作 系统 中 ， 微 软 也 开发 了 一 种 实现 实时 共享 的 服务 协议 ， 叫 做 Server 
Message Block， 简 称 SMB 协议 。1996 年 ，SMB 改名 成 为 Common Internet File System， 
简称 CIFS， 并 提供 了 开源 版 本 。 就 像 NFS 使 用 RPC 服务 作为 支撑 一 样 ，CIFS 使 用 IBM 
的 NetBIOS 协议 作为 底层 协议 支撑 。 但 是 想 在 Windows 与 Linux 系统 之 间 共 享 资源 却 比 
较 困 难 。 

在 早期 的 网 络 中 ， 文 件数 据 在 Unix、Linux、Windows(DOS) 不 同 主机 之 间 的 共享 数据 

大 多 是 使 用 FTP 服务 器 软件 来 进行 的 。 但 使 用 FTP 传输 文件 却 无 法 实现 直接 修改 远程 服 
务 器 主机 上 面 的 文件 数据 的 功能 。 如 果 用 户 想 要 更 改 Linux 主机 上 面 的 某 个 文件 时 ， 必 须 
先 将 FTP 服务 器 的 资源 文件 下 载 到 本 地 进行 修改 ， 修 改 完成 后 再 将 资源 文件 上 传 到 服务 
器 上 。 但 这 样 的 资源 共享 方式 有 很 大 的 弊端 ， 尤 其 是 在 多 用 户 需 同时 修改 同一 服务 器 文件 
的 时 候 ， 因 为 下 载 、 修 改 、 上 传 的 时 间 差 ， 容 易 出 现 用 户 修改 的 数据 丢失 的 情况 。 
1991 年 ， 澳 大 利 亚 国立 大 学 的 大 学 生 Andrew Tridgwell 拥有 三 种 不 同 的 操作 系统 主 
机 : Microsoft 的 DOS 操作 系统 、DEC 公司 的 Digital Unix 系统 以 及 Sun 的 Unix 系统 。 在 
当时 ，DEC 公司 开发 出 一 套 称 为 PATHWORKS 的 软件 实现 了 DEC 的 Unix 与 个 人 计算 
机 的 DOS 两 个 操作 系统 的 文件 数据 共享 ， 而 Sun 的 Unix 操作 系统 无 法 通过 这 个 软件 来 达 
到 文件 共享 的 目的 。Tridgwell 通过 对 数据 包 进行 分 析 与 研究 ， 利 用 软件 逆向 工程 而 开发 
出 Samba 这 个 软件 。Samba 可 以 让 Linux/Unix 与 Windows 主机 之 间 能 彼此 通过 SMB 协 
议 实现 文件 共享 。Windows SMB 与 Linux Samba Server 系统 的 关联 如 图 7-1 所 示 。 


Samba Server 


smbd Daemon 


NETBIOS nmbd Daemon 


NETBIOS 


TCP/IP 


Physical layer 


TCP/IP 
Physical layer 
Windows Linux 


图 7-1 Windows SMB 与 Linux Samba Server 关联 示意 图 


Samba 服务 器 功能 的 实现 主要 依靠 处 理 文件 和 打印 共享 请 求 的 SMB 服务 和 处 理 
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NetBIOS 名 称 服务 请 求 和 网 络 浏览 功能 的 NMBD 服务 两 个 守护 进程 实现 。 当 启动 Samba 
Server 时 ， 这 两 个 服务 会 一 起 启动 。smbd 守护 进程 监听 TCP 的 139 和 445 端口 ，nmbd 进 
程 监听 UDP 的 137 和 138 端口 。 这 两 个 守护 进程 的 配置 保存 在 /etc/samba/smb.conf 中 。 
smb 守护 进程 主要 是 处 理 到 来 的 smb 数据 包 ， 使 的 Linux 系统 用 户 能 够 访问 Windows 或 
Linux 共享 的 资源 。nmbd 守护 进程 使 Windows 或 Linux 客户 端 能 够 浏览 服务 器 提供 的 
Samba 资源 ， 所 以 两 个 守护 进程 相辅相成 。 


7.2 Samba 服务 的 安装 


7.2.1 Samba 软件 包 介 绍 


与 Samba 服务 有 关 的 软件 包 有 以 下 几 个 。 

e@ samba*.rpm: Samba 服务 器 端 软件 。 

e@ samba-common-*Ipm: 包括 Samba 服务 器 端 和 Samba 客户 端 需要 的 通用 工具 及 
相关 的 库 文件 。 

e@ samba-client*.rpm: Samba 客户 端 软件 ， 包 括 smbclient 命令 。 

® system-config-samba*.rpm: Redhat 公司 专门 为 Samba 服务 器 管理 编写 的 图 形 界 
面 的 管理 工具 ， 该 工具 是 Redhat 系统 管理 工具 中 的 一 部 分 。 

e@ ”samba-swat*.rpm: 安装 后 提供 通过 浏览 器 对 Samba 服务 器 进行 图 形 化 管理 (Web 
方式 ) 的 功能 。 

其 中 samba-common、samba-client 默认 已 安装 ，system-config-samba 及 samba-swat 都 

是 使 用 图 形 化 方式 管理 samba 的 工具 ， 用 户 可 根据 需要 选择 安装 。 


7.2.2 Samba 软件 包 安 装 


下 面 介绍 Samba 的 安装 方法 。 首 先 确 认 Samba 服务 有 没有 正确 安装 可 以 运行 如 下 
命令 : 


# rpm -qa | grep samba 


输出 结果 如 下 : 

# rpm -qa | grep samba 
samba-common-3.0.33-3.28.e15 
samba-client-3.0.33-3.28.e15 


已 经 安装 的 软件 包 里 面 没有 包含 samba 的 服务 器 端 软件 。 用 户 可 将 光盘 加 载 ， 并 进入 
CentOS 5 的 光盘 rpm 目录 /media/CentOS*/CentOS/， 并 执行 如 下 命令 : 


#rpm -ivh samba-* system-config-samba-* --Eorce 


显示 结果 如 下 : 
#rpm -ivh samba-* system-config-samba-* --force 
Preparing... 非 非 提 提 提 提 提 提 提 提 提 提 提 提 搓 提 提 提 提 提 提 提 提 提 提 左 提 提 提 间 间 井 井 井 间 提 【1 OO 名] 
1:samba-common 非 非 非 提 提 提 提 提 间 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 间 提 提 提 提 间 提 # 提 [20 村 ] 


2:samba 拓 拓 拓 拓 拓 排 拓 拓 拓 拓 拓 提 提 提 划 提 划 提 划 划 划 划 划 划 基 划 莫 井 莫 提 拓 提 拓 拓 井 井 井 【40 各] 
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3:samba-client 非 莫 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 非 提 并 提 提 间 间 间 间 间 间 并 [ 60] 
4:samba-swat 非 莫 非 莫 提 莫 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 提 井 间 并 间 井 [ 80 条] 
5:system-config-samba 提 拓 拓 提 拓 提 提 提 划 提 划 拓 提 划 划 划 划 划 基 基 基 拓 拓 拓 大 拓 拓 拓 拓 拓 拓 提 提 拓 拓 提 曹 井 [1 OOS] 


疾 注 意 : ”如 果 在 运行 pm 命令 安装 时 提示 waming: samba-3.0.33-3.28.el5.i386.rpm: 
Header V3 DSA signature: NOKEY, key ID e8562897， 说 明 rpm 在 安装 软件 包 
时 没有 找到 合适 的 钥匙 来 校 验 签名 。 这 可 能 是 由 于 通过 yum 安装 了 旧版 本 
的 GPG keys 造成 的 ， 解 决 办 法 就 是 运行 #rpm --import /etc/pki/rpm-gpg/RPM*, 
这 样 再 次 安装 软件 时 就 不 会 有 这 个 错误 提示 了 。 
再 次 运行 pm -qa | grep samba 命令 ， 可 以 得 到 如 下 结果 : 


# rpm -qa | grep samba 
samba-client-3.0.33-3.28.el15 
samba-common-3.0.33-3.28.e15 
system-config-samba-1.2.41-5.e15 
samba-3.0.33-3.28.e15 
samba-swat-3.0.33-3.28.el15 


至 此 ，Samba 服务 器 软件 包 已 经 全 部 安装 成 功 。 


7.3 Samba 服务 的 配置 文件 


Samba 服务 的 主 配 置 文件 是 /etc/samba/smb.conf。 除 了 主 配 置 文 件 ，Samba 服务 器 还 
包含 一 些 其 他 的 配置 文件 ， 如 : /etc/samba/smbpasswd 是 Samba 服务 的 用 户 密码 文件 ; 
/etcsamba/smbusers 是 Samba 服务 的 用 户 文件 ，/varlog/samba 是 Samba 服务 的 日 志文 件 ; 
/etc/init.d/smb 是 Samba 服务 的 启动 脚本 文件 。 


逮 注意 :。 软件 版 本 不 同 ， 配 置 文件 所 在 的 目录 也 可 能 不 同 。 我 们 可 以 通过 查询 软件 包 
的 文件 结构 (rpm -qa 软件 包 名 称 ) 来 确定 各 个 文件 的 位 置 。 如 查询 Samba 的 
软件 包 文 件 结构 可 运行 # rpm -ql] samba。 


7.3.1 Samba 的 主 配 置 文件 


/etc/samba/smb.conf 是 Samba 服务 的 主 配置 文件 。Samba 服务 器 功能 非常 丰富 ， 有 很 
多 功能 在 Windows 下 都 无 法 实现 ， 主 配置 文件 中 内 容 也 非常 庞大 。smb.conf 配置 文件 一 
共 分 为 两 个 部 分 ， 第 一 部 分 为 全 局 参数 设置 ， 第 二 部 分 为 共享 参数 设置 。 其 中 第 二 部 分 共 
享 参 数 设置 分 为 两 个 子 版 块 : 第 一 个 子 版 块 为 [homes] 共 享 ， 主 要 设置 Samba 服务 器 目录 
共享 功能 ;第 二 个 子 版 块 为 [printers] 共 享 ， 主 要 设置 Samba 服务 器 打印 机 共享 功能 。 

smb.conf 文件 中 已 经 包含 了 许多 注释 和 示例 。 其 中 每 行 以 “#” 开 头 的 语句 是 配置 文 
件 的 说 明 语句 ， 每 行 以 “:” 开 头 的 是 配置 文件 中 可 选 的 配置 选项 或 示例 ， 默 认 是 不 起 作 
用 的 。 用 户 如 需要 配置 ， 直 接 去 掉 每 行 前 面 的 “:”， 并 将 选项 的 内 容 蔡 换 为 个 人 设 定 的 
内 容 即 可 。 在 配置 参数 时 有 以 下 几 个 共性 。 

(1) 对 参数 进行 配置 时 基本 都 采用 “参数 = 值 ”的 方式 ， 如 参数 有 多 个 值 时 ， 多 个 
值 之 间 用 空格 分 隔 。 
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(2) 当 可 以 使 用 用 户 和 组 作为 参数 值 时 ， 值 为 组 时 需 在 组 名 前 加 @。 

(3) 以 “;” 或 “#” 开 始 的 是 注释 行 (在 执行 时 将 被 忽略 )。 

(4) 方 插 号 标识 表示 为 标志 ， 比 如 [global] 为 全 局 配置 标识 。 

(5) 一 般 当 全 局 配置 与 某 个 共享 资源 配置 发 生 冲突 时 ， 共 享 资 源 配置 优先 。 

(6) 关键 字 对 大 小 写 不 敏感 。 

因 主 配置 文件 较 长 ， 使 用 如 下 命令 可 以 过 滤 掉 注释 字符 ， 查 看 初始 主 配置 文件 内 容 : 


# grep -V -E "^#I^$|I^;" /etc/samba/smb.conf 
[globall]l 

workgroup = MYGROUP 

server string = Samba Server Version %v 

security = user 

passdb backend = tdbsam 

cups options = raw 

username map = /etc/samba/smbusers 
[homes] 

comment = Home Directories 

browseable = no 

writable = yes 
[printers] 

comment = All Printers 

path = /var/spool/samba 

browseable = no 

printable = yes 


主 配 置 文件 的 具体 配置 方法 将 在 7.4 节 中 做 详细 介绍 。 


7.3.2 Samba 的 用 户 密 码 文件 


/etc/samba/smbpasswd 是 Samba 服务 的 用 户 密 码 文件 。 初 始 安装 时 该 文件 不 存在 ， 需 
要 用 户 使 用 时 创建 。smbpasswd 文件 保存 的 是 能 访问 Samba 服务 器 资源 的 用 户 名 与 密码 。 
Samba 服务 器 的 用 户 必 须 是 Linux 系统 中 已 经 注册 存在 的 用 户 ， 即 smbpasswd 文件 中 的 用 
户 名 必须 是 系统 的 /etc/passwd 文件 中 的 用 户 名 的 子 集 ， 只 有 在 Linux 系统 中 存在 的 用 户 才 
能 添加 到 Samba 服务 器 中 。 当 Linux 系统 中 用 户 名 密码 被 删除 时 ，Samba 服务 器 中 所 对 应 
的 用 户 名 密码 也 将 被 删除 。 


7.3.3 Samba 用 户 对 应 文件 


/etc/samba/smbusers 是 Samba 服务 的 用 户 对 应 文件 ， 主 要 记录 访问 Samba 服务 器 共享 
资源 的 用 户 转换 及 对 应 关系 。 比 如 Windows 操作 系统 的 超级 管理 员 账 户 名 为 
administrator， 而 Linux 系统 的 超级 用 户 名 字 为 root， 如 果 需 要 双方 系统 使 用 超级 管理 员 用 
户 进行 共享 资源 访问 ， 并 确定 Windows 超级 管理 员 与 Linux 超级 用 户 有 同等 权限 ， 则 可 
以 在 文件 中 设置 对 应 管理 。 这 样 Windows 的 超级 管理 员 登 录 到 Samba 服务 器 后 便 实 际 上 
对 应 了 Linux 的 root 用 户 ， 连 接 后 administrator 身份 将 转换 成 root 身份 。 一 般 出 于 安全 性 
考虑 ， 不 建议 用 户 使 用 此 配置 文件 。 
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7.3.4 Samba 日 志文 件 


/varlog/samba 目录 记录 Samba 服务 器 的 smbd 和 nmbd 守护 进程 的 日 子 文件 内 容 。 
Smbd 将 日 志 记录 到 /varlog/samba/smdb log，nmbd 将 日 志 记录 到 /varlog/sambammbdlog 
中 ， 同 时 记录 有 哪些 主机 在 什么 时 间 访 问 了 Samba 服务 器 。 

可 以 通过 以 下 命令 查看 Samba 服务 的 日 志文 件 : 


ls -1 /var/log/samba/ 


显示 结果 如 下 所 示 : 


# 1s -1 /var/log/samba/ 

总 计 32 

root root 4096 02-15 23:45 cores 

一 并 村 和 一 一 一 1 TO00t root 0 03-23 01:57 nmbd.1og 
-IrW-r--r-- 1 root root 2264 03-23 01:57 nmbdq.1og.1 
-IrW-r--r-- 1 root Foot 0 03-23 01:57 smbd.1og 
EW-r--¥-— 1 TOOt ro0t 3521 03-23 01:57 smbd;log:1 


Q 
5 
FE 
区 

| 

1 

1 

1 

1 
心 


7.3.5 ”Samba 服务 的 启动 脚本 文件 


Samba 服务 的 启动 脚本 文件 是 /etc/init.d/smb。 我 们 可 以 直接 运行 这 个 脚本 来 启动 或 停 
止 Samba 服务 ， 也 可 以 根据 需要 修改 脚本 文件 内 容 。 


7.4 ” Samba 服务 器 的 配置 


Samba 服务 器 的 配置 主要 是 修改 主 配置 文件 /etc/samba/smb.conf 的 内 容 。 主 配置 文件 
由 全 局 参数 、 共 享 参数 两 个 部 分 组 成 。 本 节 首先 对 Samba 服务 器 配置 步骤 进行 介绍 ， 然 
后 对 主 配置 文件 中 各 项 参数 做 详细 介绍 。 


7.4.1 Samba 服务 器 配置 步骤 


Samba 服务 器 的 配置 步骤 非常 简单 ， 如 下 所 示 : 

(1) 检查 Samba 服务 软件 包 是 否 安装 ， 如 未 安装 则 需要 先 安装 samba 服务 软件 包 。 
(2) 根据 需要 创建 共享 目录 。 

(3) 修改 smb.conf 主 配置 文件 中 相应 参数 。 

(4) 创建 Samba 访问 用 户 ， 如 服务 器 只 开启 匿名 访问 ， 则 此 步骤 跳 过 。 

(5) 启动 Samba 服务 器 。 

(6) 编辑 防火 墙 规则 或 者 关闭 防火 墙 。 并 使 SELinux 允许 Samba 服务 运行 。 

(7) 在 客户 端 对 Samba 服务 器 进行 测试 。 


7.4.2 Samba 全 局 参数 
全 局 参数 用 于 [global] 的 <section> 选 项 定义 中 ， 用 于 说 明 samba 服务 器 的 一 些 基 本 
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属性 。 


[globall 
config file = /usr/local/samba/lib/smb.conf.%m 


#config file 可 以 让 你 使 用 另 一 个 配置 文件 来 覆盖 缺 省 的 配置 文件 。 如 果 文 件 不 存在 ， 则 该 项 
无 效 。 这 个 参数 很 有 用 ， 可 以 使 得 samba 配置 更 灵活 ， 可 以 让 一 台 samba 服务 器 模拟 多 台 不 同 配 
置 的 服务 器 。 比 如 ， 你 想 让 PcC1 (主机 名 ) 这 台电 脑 在 访问 Samba Server 时 使 用 它 自己 的 配置 文 
件 ， 那 么 先 在 /etc/samba/host/ 下 为 PCcl 配置 一 个 名 为 smb .conf .pcl 的 文件 ， 然 后 在 

smb .conf 中 加 入 : config file = /etc/samba/host/smb .conf.sm。 这 样 当 PC1 请 求 连 
接 Samba Server 时 ，smb .conf.sm 就 被 替换 成 smb.conf.pcl。 这 样 ， 对 于 PC1 来 说 ， 它 所 
使 用 的 Samba 服务 就 是 由 smb . conf.pcl 定义 的 ， 而 其 他 机 器 访问 Samba Server 则 还 是 应 用 
smb .Conf。 


workgroup = WORKGROUP 
# 设 定 Samba Server 所 要 加 入 的 工作 组 或 者 域 。 


server string = Samba Server Version %v 


# 设 定 Samba Server 的 注释 ， 可 以 是 任何 字符 串 ， 也 可 以 不 填 。 变 量 sv 表示 显示 Samba 的 版 本 号 。 


netbios name = smbserver 
# 设 置 samba Server 的 NetBIOS 名 称 。 如 果 不 填 ， 则 默认 会 使 用 该 服务 器 的 DNS 名 称 的 第 一 部 
分 。netbios name 和 workgroup 名 字 不 要 设置 成 一 样 了 。 


interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24 
# 设 置 Samba Server 监听 哪些 网 卡 ， 可 以 写 网 卡 名 ， 也 可 以 写 该 网 卡 的 IP 地 址 。 


hosts allow =IP 地 址 

# 表 示人 允许 连接 到 Samba Server 的 客户 端 ， 多 个 参数 以 空格 隔 开 。 可 以 用 一 个 IP 表示 ， 也 可 以 
用 一 个 网 段 表 示 。hosts deny 与 hosts allow 刚好 相反 。 

# 例 如 :; hosts allow=172.17.2.EXCEPT172.17.2.50 

# 表 示 容 许 来 自 172 .17.2.*.* 的 主机 连接 ,但 排除 172.17.2.50 
#hosts allow=172.17.2.0/255.255.0.0 

# 表 示 容 许 来 自 172.17.2.0/255.255.0.0 子 网 中 的 所 有 主机 连接 
#hosts allow=M1l, M2 

# 表 示 容 许 来 自 Ml1 和 M2 两 台 计算 机 连接 

#hosts allow=@xq 

# 表 示 容 许 来 自 xQ 网 域 的 所 有 计算 机 连接 


max connections = 0 
#max connections 用 来 指定 连接 Samba Server 的 最 大 连接 数目 。 如 果 超 出 连接 数目 ， 则 新 
的 连接 请 求 将 被 拒绝 。0 表示 不 限制 。 


deadtime = 0 
#deadtime 用 来 设置 断 掉 一 个 没有 打开 任何 文件 的 连接 时 间 。 单 位 是 分 钟 ，0 代表 Samba 
Server 不 自动 切断 任何 连接 。 


time server = yes/no 


#time server 用 来 设置 让 nmdb 成 为 windows 客户 端的 时 间 服 务 器 。 


log file = /var/1og/samba/1og.sm 

# 设 置 Samba Server 日 志文 件 的 存储 位 置 以 及 日 志文 件 名 称 。 在 文件 名 后 加 个 变量 sm (主机 
名 ) ， 表 示 对 每 台 访 问 Samba Server 的 机 器 都 单独 记录 一 个 日 志文 件 。 如 果 pc1、Ppc2 访问 过 
Samba Server， 就 会 在 /var/109/samba 目录 下 留 下 log.pcl 和 log.pc2 两 个 日 志文 件 。 
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max 1og size = 50 


# 设 置 Samba Server 日 志文 件 的 最 大 容量 ， 单 位 为 kB，0 代表 不 限制 。 


security = user 

# 设 置 用 户 访问 Samba Server 的 验证 方式 ， 一 共有 五 种 验证 方式 。 

#1. share: 用 户 访问 Samba Server 不 需要 提供 用 户 名 和 口令 ， 安 全 性 能 较 低 。 

#2. user: Samba Server 共享 目录 只 能 被 授权 的 用 户 访问 ,由 Samba Server 负责 检查 账号 
和 密码 的 正确 性 。 账 号 和 密码 要 在 本 Samba Server 中 建立 。 

#3. server: 依靠 其 他 Windows NT/2000 或 Samba Server 来 验证 用 户 的 账号 和 密码 , 是 一 
种 代理 验证 。 此 种 安全 模式 下 , 系统 管理 员 可 以 把 所 有 的 Windows 用 户 和 口令 集中 到 一 个 NT 系统 
上 ,使 用 windows NT 进行 samba 认证 ， 远 程 服 务 器 可 以 自动 认证 全 部 用 户 和 口令 , 如果 认证 失 
败 , Samba 将 使 用 用 户 级 安全 模式 作为 蔡 代 的 方式 。 

#4. domain: 域 安全 级 别 , 使 用 主 域 控制 器 (PDC) 来 完成 认证 。 

#5. ADS: Samba 自 3.0 开始 可 以 完美 支持 windows 的 活动 目录 。 采 用 该 模式 的 客户 端 必须 是 
Windows2000 以 上 版 本 。 


passdb backend = tdbsam 

#passdb backend 就 是 用 户 后 台 的 意思 。 目 前 有 三 种 后 台 : smbpasswd、tdbsam 和 
ldapsam。sam 应 该 是 security account manager (安全 账户 管理 ) 的 简写 。 
#1.smbpasswd:; 该 方式 是 使 用 smb 自己 的 工具 smbpasswd 来 给 系统 用 户 (真实 用 户 或 者 虚拟 用 
户 ) 设置 一 个 Samba 密码 ， 客 户 端 就 用 这 个 密码 来 访问 Samba 的 资源 。smbpasswd 文件 默认 在 
/etc/samba 目录 下 ， 不 过 有 时 候 要 手工 建立 该 文件 。 将 改 语句 替换 成 smb passwd file = 
/etc/samba/smbpasswd 即 可 转 或 成 snbpasswd 模式 。 

#2 .tdbsam: 该 方式 则 是 使 用 一 个 数据 库 文件 来 建立 用 户 数据 库 。 数 据 库 文件 叫 passdb .tdb， 
默认 在 /etc/samba 目录 下 。passdb .tdb 用 户 数据 库 可 以 使 用 smbpasswd -a 来 建立 Samba 
用 户 ， 不 过 要 建立 的 Samba 用 户 必 须 先是 系统 用 户 。 我 们 也 可 以 使 用 pdbedit 命令 来 建立 
Samba 账户 。pdbedit 命令 的 参数 很 多 ， 我 们 列 出 几 个 主要 的 。 

#pdbedit -a username: 新 建 Samba 账户 。 

#pdbedit -x username: 删除 Samba 账户 。 

#pdbedit -LI: 列 出 Samba 用 户 列表 ， 读 取 passdb .tdb 数据 库 文件 。 

#pdbedit -Lv: 列 出 Samba 用 户 列表 的 详细 信息 。 

#pdbedit -c “[D]” -u username: 暂停 该 Samba 用 户 的 账号 。 

#pdbedit -c“[]” -u username: 恢复 该 samba 用 户 的 账号 。 

#3 .1dapsam: 该 方式 则 是 基于 LDAP 的 账户 管理 方式 来 验证 用 户 。 首 先 要 建立 LDAP 服务 ， 然 后 
设置 “passdb backend = ldapsam:ldap://LDAP Server” 


encrypt passwords = yes/no 
# 是 否 将 认证 密码 加 密 。 因 为 现在 windows 操作 系统 都 是 使 用 加 密 密 码 ， 所 以 一 般 要 开启 此 项 。 不 
过 配置 文件 默认 已 开启 。 


smb passwd file = /etc/samba/smbpasswd 
# 用 来 定义 samba 用 户 的 密码 文件 。smbpasswd 文件 如 果 没 有 那 就 要 手工 新 建 。 


username map = /etc/samba/smbusers 

# 用 来 定义 用 户 名 映射 ， 比 如 可 以 将 root 换 成 administrator、admin 等 。 不 过 要 事先 在 
smbusers 文件 中 定义 好 。 比 如 : root = administrator admin， 这 样 就 可 以 用 
administrator 或 admin 这 两 个 用 户 来 代替 root 登陆 Samba Server， 更 贴近 windows 用 
户 的 习惯 。 


guest account = nobody 


# 用 来 设置 guest 用 户 名 。 


Socket options = TCP NODELAY SO RCVBUF=8192 SO_SNDBUF=8192 
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# 用 来 设置 服务 器 和 客户 端 之 间 会 话 的 Socket 选项 ， 可 以 优化 传输 速度 。 


domain master = yes/no 


# 设 置 Samba 服务 器 是 否 要 成 为 网 域 主 浏览 器 ， 网 域 主 浏览 器 可 以 管理 跨 子 网 域 的 浏览 服务 。 


local master = yes/no 

#1ocal master 用 来 指定 Samba Server 是 否 试图 成 为 本 地 网 域 主 浏览 器 。 如 果 设 为 no， 则 永 
远 不 会 成 为 本 地 网 域 主 浏览 器 。 但 是 即使 设置 为 Yes， 也 不 等 于 该 Samba Server 就 能 成 为 主 浏 
览 器 ， 还 需要 参加 选举 。 


preferred master = yes/no 

# 设 置 Samba Server 一 开机 就 强迫 进行 主 浏览 器 选举 ， 可 以 提高 Samba Server 成 为 本 地 网 域 
主 浏览 器 的 机 会 。 如 果 该 参数 指定 为 yes 时 ， 最 好 把 domain master 也 指定 为 yes。 使 用 该 参 
数 时 要 注意 : 如 果 在 本 Samba Server 所 在 的 子 网 有 其 他 的 机 器 (不 论 是 windows NT 还 是 其 他 
Samba Server) 也 指定 为 首要 主 浏览 器 时 ， 那 么 这 些 机 器 将 会 因为 争夺 主 浏览 器 而 在 网 络 上 大 发 
广播 ， 影 响 网 络 性 能 。 

如 果 同 一 个 区 域内 有 多 台 Samba Server， 将 上 面 三 个 参数 设 定 在 一 台 即 可 。 


os level = N 

# 设 置 samba 服务 器 的 os level。N 是 整数 。 该 参数 决定 Samba Server 是 否 有 机 会 成 为 本 地 
网 域 的 主 浏览 器 。os level 从 0 到 255, winNT 的 os level 是 32, win95/98 的 os level 
是 1。Windows 2000 的 os level 是 64。 如 果 设 置 为 0， 则 意味 着 Samba Server 将 失去 浏 
览 选择 。 如 果 想 让 Samba Server 成 为 EDCc， 那 么 将 它 的 os level 值 设 大 些 。 


domain logons = yes/no 


# 设 置 Samba Server 是 否 要 作为 本 地 域 控 制 器 。 主 域 控制 器 和 备份 域 控制 器 都 需要 开启 此 项 。 


logon . = %u.bat 

# 当 使 用 者 用 windows 客户 端 登录 ， 那 么 Samba 将 提供 一 个 登录 档 。 如 果 设 置 成 su .bat， 那 么 
就 要 为 每 个 用 户 提供 一 个 登录 档 。 如 果 人 比较 多 ， 那 就 比较 麻烦 。 可 以 设置 成 一 个 具体 的 文件 名 ， 
比如 start .bat， 那 么 用 户 登 录 后 都 会 去 执行 start .bat， 而 不 用 为 每 个 用 户 设 定 一 个 登录 档 
了 。 这 个 文件 要 放置 在 [netlogon] 的 path 设置 的 目录 路 径 下 。 


wins support = yes/no 


# 设 置 samba 服务 器 是 否 提供 wins 服务 。 


wins server = wins 服务 器 IP 地 址 
# 设 置 Samba Server 是 否 使 用 别 的 wins 服务 器 提供 wins 服务 。 


wins proxy = yes/no 


# 设 置 Samba Server 是 否 开启 wins 代理 服务 。 


dns proxy = yes/no 


# 设 置 Samba Server 是 否 开启 dns 代理 服务 。 


load printers = yes/no 


# 设 置 是否 在 启动 samba 时 就 共享 打印 机 。 


printcap name = cups 


# 设 置 共享 打印 机 的 配置 文件 。 


printing = cups 
# 设 置 Samba 共享 打印 机 的 类 型 。 现 在 支持 的 打印 系统 有 : bsd, sysv, plp, lprng, aix, 


hpux, qnx 
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7.4.3 Samba 共享 参数 


共享 参数 定义 了 除了 [global] 外 的 各 个 <section> 中 的 参数 。 其 定义 了 共享 服务 的 属性 。 


comment = 任意 字符 串 
#Ccomment 是 对 该 共享 的 描述 ， 可 以 是 任意 字符 串 。 


path = 共享 目录 路 径 

#path 用 来 指定 共享 目录 的 路 径 。 可 以 用 su、sm 这 样 的 变量 来 代替 路 径 里 的 unix 用 户 和 客户 机 
的 Netbios 名 ， 用 变量 表示 主要 用 于 [homes] 共 享 域 。 例 如 : 如 果 我 们 不 打算 用 home 段 作为 客 
户 的 共享 ， 而 是 在 /home/share/ 下 为 每 个 Linux 用 户 以 他 的 用 户 名 建 个 目录 ， 作 为 他 的 共享 目 
录 ， 这 样 path 就 可 以 写成 : path = /home/share/su; 。 用 户 在 连接 到 这 共享 时 具体 的 路 径 
会 被 他 的 用 户 名 代替 ， 要 注意 这 个 用 户 名 路 径 一 定 要 存在 ， 否 则 ， 客 户 机 在 访问 时 会 找 不 到 网 络 路 
径 。 同 样 ， 如 果 我 们 不 是 以 用 户 来 划分 目录 ， 而 是 以 客户 机 来 划分 目录 ， 为 网 络 上 每 台 可 以 访问 

samba 的 机 器 都 各 自 建 个 以 它 的 netbios 名 的 路 径 ， 作 为 不 同 机 器 的 共享 资源 ， 就 可 以 这 样 写 : 
path = /home/share/sm 。 


browseable = yes/no 


#browseable 用 来 指定 该 共享 是 否 可 以 浏览 。 


writable = yes/no 


#writable 用 来 指定 该 共享 路 径 是 否 可 写 。 


available = yes/no 


#available 用 来 指定 该 共享 资源 是 否 可 用 。 


admin users = 该 共享 的 管理 者 

#admin users 用 来 指定 该 共享 的 管理 员 (对 该 共享 具有 完全 控制 权限 ) 。 在 samba 3.0 中 ， 如 
果 用 户 验证 方式 设置 成 “security=share” 时 ， 此 项 无 效 。 

例如 ; admin users =bobyuan，jane (多 个 用 户 中 间 用 逗号 隔 开 ) 。 


valid users = 允许 访问 该 共享 的 用 户 

#valid users 用 来 指定 允许 访问 该 共享 资源 的 用 户 。 

例如 : valid users = bobyuan，@bob，Q@tech (多 个 用 户 或 者 组 中 间 用 逗号 隔 开 ， 如 果 要 加 
入 一 个 组 就 用 “e+ 组 名 ”表示 。) 


invalid users = 禁止 访问 该 共享 的 用 户 
#invalid users 用 来 指定 不 允许 访问 该 共享 资源 的 用 户 。 
例如 : invalid users = root，@bob (多 个 用 户 或 者 组 中 间 用 逗号 隔 开 。) 


write 1ist = 允许 写 入 该 共享 目录 的 用 户 
#write 1ist 用 来 指定 可 以 在 该 共享 下 写 入 文件 的 用 户 。 
例如 : write list = bobyuan，@bob 


public = yes/no 
#public 用 来 指定 该 共享 是 否 允 许 guest 账户 访问 。 


guest ok = yes/no 


# 意 义 同 “public”。 
除了 homes 和 printers 外 ， 用 户 还 可 以 在 smb.conf 文件 中 自 定义 共享 服务 名 。 
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7.4.4 Samba 自 定义 变量 


在 共享 服务 的 定义 中 ， 我 们 通过 一 些 选 项 来 定义 共享 服务 的 属性 。 在 选项 的 定义 中 ， 
我 们 可 以 使 用 一 些 samba 预定 义 的 变量 来 设置 动态 的 选项 值 。 下 面 列 出 几 个 常用 的 预定 义 
变量 : 
%S: 当前 服务 名 。 
%P: 当前 服务 的 根 目录 。 
%u: 当前 服务 的 用 户 名 。 
%U: 当前 会 话 的 用 户 名 。 
%g: 当前 服务 用 户 所 在 的 主 工作 组 。 
%G: 当前 会 话 用 户 所 在 的 主 工 作 组 。 
%H: 当前 服务 的 用 户 的 Home 目录 。 
9%V: samba 的 版 本 号 。 
%h: 运行 samba 服务 机 器 的 主机 名 。 
%M: 客户 端的 主机 名 。 
%m: 客户 端的 NetBIOS 名 称 。 
%L: 服务 器 的 NetBIOS 名 称 。 
%R: 所 采用 的 协议 等 级 (CORE/COREPLUS/LANMAN1LANMAN2/NT1)。 
%d: 当前 服务 进程 的 ID。 
%I: 客户 端的 卫 。 
%T: 当前 日 期 和 时 间 。 


7.5 Samba 服务 的 启动 与 停止 


7.5.1 Samba 服务 的 启动 


启动 Samba 服务 ， 会 同时 启动 smbd 和 nmbd 两 个 进程 。 我 们 可 以 使 用 如 下 命令 启动 
Samba 服务 : 


service smb start 


显示 结果 如 下 所 示 : 

# service smb start 

启动 SMB 服务 : [确定 ] 
启动 NMB 服务 : [确定 ] 


由 显示 结果 可 知 ， Samba 服务 已 经 启动 成 功 。 
用 户 还 可 以 使 用 下 面 的 命令 启动 Samba 服务 : 


# /etc/init.d/smb start 


显示 同样 的 结果 : 
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# /etc/init.d/smb start 
启动 SMB 服务 : [确定 ] 
启动 NMB 服务 : [确定 ] 


这 两 种 启动 方式 效果 是 一 样 的 。 其 中 /etc/init.d/smb start 方法 适用 于 任何 的 Linux 操作 
系统 ， 而 service smb start 仅仅 适用 于 Red Hat 系列 或 与 其 类 似 的 操作 系统 。 


7.5.2 Samba 服务 的 停止 
停止 Samba 服务 也 有 两 种 方式 : 


# service smb stop 


显示 结果 如 下 : 


# service smb stop 
关闭 SMB 服务 : [确定 ] 
关闭 NMB 服务 : [确定 ] 


或 者 采用 如 下 命令 : 


# /etc/init.d/smb stop 


显示 结果 如 下 : 


# /etc/init.d/smb stop 
关闭 SMB 服务 : [确定 ] 
关闭 NMB 服务 : [确定 ] 


7.5.3 设置 Samba 服务 开机 自 运行 
可 以 使 用 chkconfig 命令 设置 Samba 服务 开机 自 运行 : 


# chkconfig --level 345 smb on 

也 可 以 通过 ntsysv 图 像 界面 设置 Samba 服务 的 开机 自 运行 : 
#ntsysv --level 345 

在 弹出 的 ntsysv 图 形 窗口 中 用 “*” 选 中 smb 服 


务 ， 使 其 能 够 在 在 开机 自动 启动 ， 并 选中 “确定 ” 
按钮 ， 退 出 ntsysv 设置 ， 如 图 7-2 所 示 。 


7.5.4 检测 Samba 服务 是 否 正 常 启动 


可 以 通过 端口 状态 检测 命令 netstat 和 进程 显示 
命令 ps 两 种 方式 检测 Samba 服务 是 否 正常 启动 : 


#netstat -antup | grep smb 
# ps -eaf | grep smbd 图 7-2 ntsysv 设置 smb 服务 


显示 结果 分 别 如 下 所 示 : 开机 自 启动 


#netstat -antup | grep smb 
tcp 0 0 0.0.0.0:139 0.0.0.03* LISTEN 18872/smbd 
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tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 18872/smbd 


# ps -eaf | grep smbd 

root 18872 056 2 00:00:00 smbqd -D 
root 18875 18872 0 09:56 ? 00:00:00 smbd -D 
root 18980 4794 0 09:58 pts/1 00:00:00 grep smbd 


7.5.5 修改 SELinux 状态 


在 Samba 服务 器 中 并 不 是 所 有 的 操作 都 会 受到 SELinux 的 影响 ，Samba 所 涉及 的 
SELinux 配置 参数 比较 多 ， 不 过 在 smb.conf 文件 中 通过 注释 的 方式 已 对 其 中 一 部 分 进行 了 
说 明 。 

下 面 列 出 的 是 所 有 与 Samba 服务 器 有 关 的 SELinux 配置 。 

(1) setsebool -P samba_domain_controller on 

(2) setsebool -P samba_enable home dirs on /如 果 不 需 在 Samba 使 用 默认 共享 的 用 户 
目录 ， 可 不 必 执 行 。 

(3) setsebool -P samba_export all ro on ”// 如 果 在 整个 Samba 所 有 的 共享 目录 均 为 只 
读 时 运行 。 

(4) setsebool -P samba export all rw on /如 果 在 整个 Samba 所 有 的 共享 目录 有 可 写 
时 运行 。 

(5) chcon -R -t samba_share t 和 欲 共 享 的 本 地 目录 名 /如 果 在 整个 Samba 所 有 共享 目 
录 中 有 多 许 建 立 目录 时 运行 ， 在 执行 chcon 命令 时 一 定 要 小 心 ， 如 果 修改 了 根 目录 安全 上 
下 文 RHELS.x 在 重新 启动 后 将 无 法 登录 。 

(6) setsebool -P smbd disable _ trans=1 

chcon -R -t samba_ share t /bin/mount 
chcon -R -t samba_ share t /bin/lumount 
// 以 上 语句 如 果 需 要 共享 光驱 时 使 用 运行 。 

(7) setsebool -P swat_disable_trans=] // 如 果 需 要 使 用 时 SWAT 运行 。 

(8) setsebool -P smbd_ disable_trans=1 // 如 果 需 要 使 用 PAM 模块 进行 访问 控制 时 
运行 。 

如 服务 器 只 是 作为 测试 使 用 ， 用 户 也 可 以 使 用 如 下 命令 将 SELinux 设置 为 permissive 
模式 (重启 后 SELinux 恢复 ): 


# setenforce 0 


如 需要 永久 禁用 SELinux， 修 改 /etc/selinux/config 文件 中 的 SELINUX=" disabled "， 
然后 重启 即 可 。 


7.5.6 修改 Iptables 防火 墙 状态 
为 Samba 服务 器 进行 简单 测试 时 ， 用 户 可 以 选择 关闭 Linux 防火 墙 : 


# service iptables stop 


或 者 可 以 使 用 如 下 脚本 来 打开 Linux 系统 防火 墙 。 在 这 个 脚本 中 ， 用 户 只 需要 在 前 4 行 设 
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置 好 服务 器 全 、 子 网 掩 码 、 网 络 地址、 广播 地 址 这 4 个 网 络 参数 ， 再 将 脚本 复制 到 终端 命 
令 行 执行 即 可 。 


SERVER="192.168.0.1" ## 服务 器 IP 地 址 
NETMASK="255 .255.0.0" 间 子 网 掩 码 
NETWORK="192.168.0.0" ## 网 络 地 址 
BROADCAST="192.168.255.255" # 广播 地 址 


iptables -A INPUT -i lo -]j ACCEPT 

iptables -A OUTPUT -o lo -j] ACCEPT 

iptables -A INPUT -p udp -s ${NETWORK}/$ {NETMASK} -d ${SERVER}/32 -m 
multiport --dports 137,138 -] ACCEPT 

iptables -A INPUT -p tcp -s ${NETWORK}/$ {NETMASK} -d ${SERVER}/32 -m 
multiport --dports 139,445 -] ACCEPT 

iptables -A INPUT -p udp -s ${NETWORK}/$ {NETMASK} -d ${BROADCAST}/32 -- 
dport 137 -j] ACCEPT 

iptables -A INPUT -p udp -d ${SERVER}/32 -m multiport --dports 137,138 
-j DROP 

iptables -A INPUT -p tcp -d ${SERVER}/32 -m multiport --dports 139,445 - 
j DROP 

iptables -A OUTPUT -s ${SERVER}/32 -d ${NETWORK}/32 -m state --state 
ESTABLISHED, RELATED -]j ACCEPT 


关于 Linux 防火 墙 详细 配置 ， 请 参阅 第 11 章 。 


7.5.7 ”使 用 图 形 化 方式 设置 Samba 服务 启动 


CentOS 5 的 GNOME 图 形 界面 中 选择 “系统 ”一 “管理 ”一 “服务 器 设置 ”一 “ 服 
务 ”， 打 开 “ 服 务 配 置 ”窗口 ， 如 图 7-3 所 示 。 在 该 窗口 中 选中 smb 服务 ， 然 后 单 击 “ 开 
始 ”、“ 停 止 ”、“ 重 启 ” 等 按钮 即 可 实现 对 smb 服务 的 启动 、 停 止 和 重启 操作 。 在 窗 
口中 选中 smb 服务 前 的 复 选 框 ， 还 可 实现 NFS 服务 的 开机 自动 运行 。 


文件 亿 前 阁 各行 2X&)》 二名 计生 每 天 入) 帮 册 他) 


强 匀 运行 弘 齐 :5 


Starts ang stops me Sampa smbd and nmbd daemons 
vsed to provide ske network services 


7-3 ”CentOS 5 中 的 “服务 配置 ”窗口 
7.6 Samba 常用 工具 命令 


Samba 服务 提供 了 很 多 的 工具 命令 以 满足 不 同 需求 ， 如 配置 文件 语法 检测 命令 
testparm， 共 享 目录 详细 列表 命令 smbclient，Samba 客户 端 访问 工具 命令 smbmount， 
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Samba 用 户 管理 命令 smbpasswd，Samba 服务 运行 状态 检测 命令 smbstaus 命令 等 ， 下 面向 


大 家 逐一 介绍 。 
在 学 习 命 令 之 前 ， 让 我 们 先 建立 一 个 测试 Samba 服务 器 ， 并 对 其 进行 如 下 修改 : 
# useradd alice // 为 系统 添加 一 个 alice 用 户 
# mkdir /public // 为 系统 创建 一 个 public 目录 用 于 Samba 共享 
# chown alice:alice /public // 将 /public 文件 夹 的 owner 改 为 alice 
# service iptables stop // 关 闭 防火 墙 
# setenforce 0 // 设 置 SELinux 至 permissive 模式 


修改 Samba 配置 文件 /etc/samba/smb.conf， 并 在 文件 尾部 添加 内 容 如 下 : 


[public] 
comment = public 
path = /public 
writeable = yes 
browseable = yes 
valid users = alice 


7.6.1 ” smbpasswd 命令 


smbpasswd 命令 用 于 在 Samba 服务 器 中 创建 用 户 及 更 改 密码 。 使 用 参数 如 下 所 示 : 
smbpasswd -a 增加 用 户 (增加 的 用 户 必 须 在 系统 用 户 中 已 经 存在 )。 

smbpasswd -d 停 用 用 户 ， 禁 止 用 户 使 用 Samba。 

smbpasswd -e 启用 用 户 ， 让 停 用 的 用 户 可 以 使 用 Samba。 

smbpasswd -n 把 用 户 的 密码 设置 成 空 (要 在 global 中 写 入 null passwords -true)。 
smbpasswd -x 删除 用 户 。 

下 面 ， 将 alice 用 户 加 入 到 Samba 中 ， 运 行 命令 如 下 所 示 : 


# smbpasswd -a alice 
New SMB password: 
Retype new SMB password: 


添加 Samba 用 户 时 需要 输入 Samba 的 密码 ， 该 密码 可 以 与 系统 密码 不 同 。 


7.6.2 testparm 命令 


testparm 命令 是 用 来 检测 Samba 服务 的 配置 文件 smb.conf 是 否 存在 错误 。 在 我 们 配置 


好 smb.conf 文件 后 ， 为 避免 发 生 拼写 或 语法 错误 应 使 用 testparm 命令 对 配置 文件 进行 检 


查 。 


输入 samba 主 配 置 文件 的 检测 命令 : 


# testparm 


显示 结果 如 下 所 示 : 


# testparm 

Load smb config files from /etc/samba/smb.conf 
Processing section "[homes]" 

Processing section "[printers]" 

Processing section "[public]" 

Loaded services file OK. 

Server role: ROLE STANDALONE 
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Press enter to see a dump of your service definitions 


[globall]l 
workgroup = MYGROUP 
server string = Samba Server Version %v 
passdb backend = tdbsam 
username map = /etc/samba/smbusers 
cups options = raw 
[homes] 
comment = Home Directories 
read only = No 
browseable = No 


[printers] 
comment = All Printers 
path = /var/spool/samba 
printable = Yes 
browseable = No 


[public] 
comment = public 
path = /public 
valid users = alice 
read only = No 


以 上 结果 表明 Samba 主 配 置 文件 没有 问题 ， 在 回 车 后 显示 smb.conf 全 局 参数 和 共享 


目录 中 共享 参数 的 情况 。Samba 服务 默认 共享 了 [homes]、[printers] 和 [public] 三 个 目录 。 


7.6.3 smbclient 命令 


令 。 


smbclient 是 用 于 在 Linux 或 者 UNIX 系统 下 访问 Samba 服务 器 共享 资源 的 客户 端 命 
简单 的 格式 如 下 : 


smbclient [-L] //ServerIP/samba 共享 名 称 [-U username [password]] 


其 中 -L 参数 表示 列 出 Samba 服务 器 的 共享 目录 ; -U 参数 表示 使 用 哪个 用 户 访问 


Samba 服务 器 ， 用户 名 后 面 可 加 用 户 登 录 密码 。 


例如 用 户 alice 需要 访问 192.168.0.103 Samba 服务 器 的 public 共享 ， 假 设 服务 器 已 经 


配置 完成 ， 则 可 以 使 用 以 下 命令 : 


# smbclient -LI //192.168.0.103/public -U alice 
Password: 
Domain=[BOGON] OS=[Unix] Server=[Samba 3.0.33-3.28.el15] 


Sharename Type Comment 
public Disk public 
IPC$ LPC IPC Service (Samba Server Version 3.0.33-3.28.el15) 


Microsoft XPS Document Writer:1 Printer Microsoft XPS Document Writer 
Microsoft Office Document Image Writer:2 Printer Microsoft 
Office Document Image Writer 
Fax:3 Printer Fax 
alice Disk Home Directories 
Domain=[BOGON] 0S=[Unix] Server=[Samba 3.0.33-3.28.el5] 
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Server Comment 
Workgroup Master 
MYGROUP 


7.6.4 ”mount 命令 


mount 命令 主要 用 于 挂 载 Samba 服务 器 共享 目录 到 本 地 目录 。 例 如 需要 将 
192.168.0.105 Samba 服务 器 的 public 目录 挂 载 到 本 地 的 /mnt/public 目录 ， 可 使 用 如 下 命令 
实现 : 


# mkdir /mnt/public 
# mount -t cifs -o username=alice,password=alice //192.168.0.103/public 
/mnt/public 


// 查 看 目录 加 载 情 况 

# mount 

/dev/mapper/VolGroup00-LogVol100 on / type ext3 (rw) 
proc on /proc type proc (rw) 

Sysfs on /sys type sysfs (rw) 

devpts on /dev/pts type devpts (rw,gid=5,mode=620) 
/dev/sdal on /boot type ext3 (rw) 

tmpfs on /dev/shm type tmpfs (rw) 

none on /proc/sys/fs/binfmt misc type binfmt misc (rw) 
none on /proc/fs/vmblock/mountPoint type vmblock (rw) 
sunrpc on /var/lib/nfs/rpc pipefs type rpc pipefs (rw) 
/dev/hdc on /media/CentOs 5.5 Final type iso9660 
(ro,noexec, nosuid, nodev, uid=0) 

//192.168.0.103/public on /mnt/public type cifs (rw,mand) 


由 上 面 结果 可 知 ，Samba 服务 器 的 public 目录 已 经 成 功 加 载 到 客户 端 /mnt/public 目 
录 下 。 


和 注意 :” 原 有 的 smbmount 命令 在 CentOS 5.5 版 本 中 不 再 支持 。mount -t smbfs 在 
CentOS5.5 中 也 不 再 支持 ， 应 改 用 mount -tcifs 加 载 Samba 共享 目录 。 


7.6.5 ”smbstatus 命令 


smbstatus 命令 用 于 查看 Samba 服务 器 的 状态 ， 如 显示 哪些 主机 连接 到 Samba 服务 
器 ， 哪 些 用 户 正在 访问 Samba 服务 器 的 文件 等 。 


# smbstatus 


Samba version 3.0.33-3.28.el15 


PID Username Group Machine 
5610 alice alice sd--20110325cwb (192.168.0.101) 
5716 alice alice 192.1698.0:103 (192.168-0103)} 
Service pid machine Connected at 


public 5716 192.168.0.103 Thu Mar 20 13:39:56 2012 
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alice 5610 sd--20110325cwb Thu Mar 20 13:36:06 2012 
IPCS$ 5610 sd--20110325cwb Thu Mar 20 13:35:16 2012 


Locked files: 
Pid Uid DenyMode Access R/W Oplock 
SharePath Name Time 


5610 502 DENY NONE Ox100001 RDONLY NONE 
/home/alice . Thu Mar 20 13:36:06 2012 


由 以 上 结果 可 知 ， 目 前 共有 两 台 客户 端 连接 至 Samba 服务 器 ，IP 地 址 分 别 为 
192.168.0.101 与 192.168.0.103， 分 别 连 接 到 服务 器 的 public、alice 与 PC$ 目 录 。 连 接 进 
程 分 别 为 5610 和 5716。 若 管理 员 需 要 断 开 该 连接 ， 可 以 使 用 kill 命令 结束 该 进程 。 


狂 注意 :，IPC8 目 录 是 Samba 服务 器 为 兼容 Windows 客户 端 而 自 带 的 一 个 目录 ， 一 般 
不 需要 对 其 进行 设置 。 


7.6.6 smbtree 命令 


smbtree 命令 用 于 查找 Samba 工作 组 中 的 所 有 主机 的 共享 目录 ， 如 工作 组 中 由 多 少 台 
Samba 服务 器 ， 共 享 了 哪些 目录 。 


#smbtree 
Password: 
MYGROUP 
\\BOGON Samba Server Version 3.0.33-3.28.el5 


以 上 结果 表明 ，smbtree 找到 一 台 Samba 服务 器 。smbtree 的 命令 参数 如 下 所 示 : 
-D: 只 显示 工作 组 名 ， 不 显示 主机 。 
-b: 使 用 广播 查询 列表 ， 不 用 WINS 服务 器 。 


7.6.7 smbtar 命令 


smbtar 命令 主要 功能 是 将 Samba 服务 器 的 共享 文件 备份 到 某 个 服务 器 或 者 本 地 。 如 
Samba 出 现 问题 ， 可 以 通过 smbtar 命令 将 备份 文件 恢复 至 Samba 服务 器 。smbtar 命令 格 
式 可 以 通过 /usr/bin/smbtar 脚本 得 到 。 若 不 允许 匿名 用 户 备份 Samba 数据 ， 可 以 将 
/usr/bin/smbtar 文件 中 的 -N 参数 删除 。 

smbtar 的 命令 参数 : 

-s: Samba 服务 器 PP 地址 或 主机 名 。 

-u: 备份 或 者 恢复 时 所 用 的 用 户 名 。 

-p: 备份 或 恢复 时 所 使 用 的 用 户 的 密码 。 
-x: 备份 或 恢复 的 共享 目录 。 

-t: 备份 到 哪个 文件 或 设备 。 

<: 从 哪个 文件 或 设备 恢复 数据 。 

例如 利用 alice 用 户 备份 Samba 服务 器 192.168.0.103 的 public 目录 所 有 文件 ， 执 行 命 
令 如 下 所 示 : 
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# smbtar -s 192.168.0.103 -u alice -p alice -x public -t 
/home/alice/public.tar 


7.7 _ Samba 服务 器 端的 配置 


通过 字符 方式 配置 Samba 服务 器 需要 记 住 大 量 的 命令 和 配置 选项 ， 在 带 有 X- 
Windows 图 形 界面 操作 系统 的 CentOS 中 ， 我 们 可 以 采用 system-config-samba 对 Samba 服 
务 器 进行 配置 。 

(1) 确认 是 否 已 安装 system-config-samba 软件 包 。 使 用 pm -qa 命令 查询 是 否 已 经 安 
装 该 软件 包 ， 如 未 安装 ， 需 进入 到 光盘 的 软件 包 所 在 目录 使 用 rpm -ivh system-config- 
samba* 命令 进行 安装 。 


# rpm -qa | grep system-config-samba 


显示 结果 如 下 : 


# rpm -qa | grep system-config-samba 
system-config-samba-1.2.41-5.e15 


说 明 Samba 的 配置 图 形 工具 已 经 成 功 安装 。 

(2) 打开 Samba 图 形 配置 界面 。 我 们 可 以 直接 在 终端 命令 行 输入 “system-config- 
samba” 命 令 进入 到 Samba 服务 器 配置 界面 ， 也 可 以 进入 到 X-Windows 界面 中 ， 选 择 “ 系 
统 ” 一 “管理 ”一 “服务 器 设置 ”一 Samba， 进 入 “Samba 服务 器 配置 ”界面 ， 如 图 7-4、 
图 7-5 所 示 。 


De sm 


图 7-4 启动 Samba 服务 器 图 形 配置 界面 7-5 Samba 服务 器 配置 界面 


(3) 为 方便 他 人 识别 这 台 计 算 机 ， 需 要 先 为 这 台 计 算 机 设置 合适 的 描述 和 工作 组 。 单 
击 “ 首 选项 ”一 “服务 器 设置 ”命令 ,根据 情况 设置 工作 组 名 称 及 描述 该 Samba 服务 器 
的 说 明文 字 ， 如 图 7-6 所 示 。 
(4) 单 击 “安全 性 ”选项 卡 ， 如 图 7-7 所 示 。 
@ ”验证 模式 Samba 服务 器 所 采用 的 验证 方式 其 中 各 参数 含义 具体 见 6.3.1 节 的 
“security=” 参 数 。 


200 Linux 网 络 技术 基础 


验证 服务 器 : 对 于 “用 户 ” 及 “共享 ”验证 模式 ， 无须 启 用 此 项 设置 。 
Kerberos 域 : 只 有 启用 ADS 验证 模式 ， 才 需要 输入 Kerberos 域 。 对 于 “用 户 ” 
及 “共享 ”验证 模式 ， 无 须 启用 此 项 设置 。 

@ 加密 口令 : 应 该 选择 “是 ”， 这 样 可 以 防止 黑客 用 嗅 探 器 截获 密码 明文 。 

e@ ”来 宾 账号 : 当 来 宾 用 户 要 登录 Samba 服务 器 时 ， 他 们 必须 被 映射 到 服务 器 上 的 
某 个 有 效用 户 。 选 择 系统 上 的 现存 用 户 名 之 一 作为 来 宾 Samba 账号 。 当 用 户 使 
用 来 宾 账号 登录 入 Samba 服务 器 ， 他 们 拥有 和 这 个 用 户 相同 的 权限 。 


3 Samba 服务 器 配置 = olxl 
文件 的 普选 项 名 攻 典 全 
多 加 
主 加 共享 弄 肢 ADs 
上 szs wn 1 号 恒 大 天 EE EE 
Jpublic pualc 说 本 ES EE pe 
| | waws mwea ] | 3 
ID): [Samoa Server versonsv | a 一 一 一 
Ne | 
kerberos 域 : | 
203: [是 
[EE Fr 来 宾 册 与 全 ) ; | 无 来 宾 败 号 
XmiC | [Ymeo) | 
7-6 Samba 服务 器 设置 7-7 Samba 服务 器 安全 性 设置 


(5) 添加 共享 目录 。 接 下 来 添加 共享 目录 ， 单 击 Samba 配置 窗口 工具 栏 上 的 “添加 共 
享 ” 按 钮 ， 即 可 打开 一 个 添加 共享 对 话 框 如 图 7-8 所 示 。 在 该 对 话 框 上 的 “基本 ”选项 卡 
上 ， 指 定 共享 的 目录 为 某 个 存在 的 目录 ， 再 指定 共享 名 及 描述 ， 并 设 定 该 目录 的 基本 权限 
是 只 读 还 是 读 / 写 。 在 “访问 ”选项 卡 上 ， 可 以 指定 允许 所 有 用 户 访问 ， 或 者 只 允许 某 些 
用 户 访问 。 

(6) 添加 samba 共享 用 户 。 在 “首选 项 ”中 选择 “samba 用 户 ” 选 项 卡 ， 启 动 Samba 
用 户 管理 界面 ， 如 图 7-9 所 示 。 单 击 “添加 用 户 ” 可 以 实现 将 Linux 系统 中 的 已 存在 用 户 
添加 到 Samba 中 来 ， 并 且 需 要 为 用 户 设置 Windows 用 户 名 和 Samba 口令 。 选 中 某 个 用 户 
单 击 “ 编 辑 用 户 ” 按 钮 可 以 对 该 用 户 的 Windows 用 户 名 和 Samba 口令 进行 修改 ; 选中 某 
个 用 户 单 击 “ 删 除 用 户 ” 按 钮 可 将 改 用 户 自 Samba 服务 器 中 删除 。 在 Samba 中 删除 用 户 
对 系统 用 户 没 有 影响 。 但 删除 系统 用 户 会 将 使 Samba 中 所 对 应 的 用 户 在 Samba 重启 启动 
后 无 法 使 用 。 

[root | [ROW 


alice 


test 


| KRC | | BmEO) | GWEeO) 
图 7-8 创建 Samba 共享 图 7-9 Samba 用 户 管理 
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(7) 启动 Samba 服务 ， 在 Windows 或 Linux 客户 端 中 对 其 进行 验证 测试 。 
Ee 注意 : ”必须 是 root 用 户 才 可 以 对 Samba 服务 器 进行 配置 。 


7.8 Samba 客户 端的 配置 


Samba 服务 器 配置 完成 后 ，Linux/Unix 操作 系统 的 Samba 客户 可 以 在 图 像 界面 下 通过 
在 窗口 地 址 栏 输入 “smb:\ 服 务 器 了 P\ 共 享 目录 ”访问 Samba 服务 器 的 共享 目录 ， 在 字符 界 
面 下 可 以 通过 smbclient、smbmount 命令 挂 载 Samba 服务 器 目录 并 使 用 其 中 的 资源 。 
Windows 操作 系统 用 户 可 以 通过 “网 上 邻居 ”或 者 直接 在 “我 的 电脑 ”地 址 栏 输入 “\\ 服 
务 器 全 \ 共 享 目录 ”的 方式 访问 Samba 服务 器 资源 。 


7.8.1 Linux 客户 端 访问 Samba 


Linux 客户 端 访问 Samba 服务 器 的 方法 很 多 ， 
在 图 形 界面 下 ， 访 问 Samba 的 方法 如 下 。 

(1) 在 Linux 图 形 界面 的 菜单 栏 选择 “应 用 程 
序 ” 一 “系统 工具 ”一 “文件 浏览 器 ” 即 可 打开 文件 
浏览 器 ， 如 图 7-10、 图 7-11 所 示 。 

(2) 单 击 四 按钮 使 其 显示 出 地 址 栏 ， 并 在 地 址 栏 
内 输入 “smb:/192.168.0.103/alice ”。 如 需要 身份 认 
证 ， 则 需要 在 弹出 的 对 话 框 中 输入 用 户 名 及 密码 ， 打 
开 服 务 器 资源 如 图 7-12 所 示 。 
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7-10 打开 文件 浏览 器 
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图 7-11 Linux 下 的 文件 浏览 器 
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7-12 Linux 访问 Samba 资源 
7.8.2 Windows 客户 端 访问 Samba 


在 Windows 中 访问 Samba 资源 比较 简单 ， 直 接 在 “我 的 电脑 ”地 址 栏 输入 


“W192.168.0.103\alice” 按 Enter 键 即 可 。 在 弹出 的 身份 验证 对 话 框 中 输入 用 户 名 与 密码 ， 
即 可 访问 到 Samba 服务 器 资源 ， 如 图 7-13 所 示 。 


7-13 ”Windows 访问 Samba 资源 


7.9 Samba 服务 的 配置 案例 
7.9.1 配置 案例 1 


【 例 7-1】 某 一 小 型 企 包括 经 理 共 8 名 员工 ， 所 有 员工 在 公司 内 流动 办 公 。 现 公司 要 
求 员工 不 管 在 哪 台 电脑 上 网 ， 都 需要 将 文件 保存 在 Samba 服务 器 上 。 其 中 技术 组 和 业务 
组 各 有 一 个 自己 的 组 共享 目录 ， 各 组 人 员 不 得 跨 组 访问 。 如 tom 和 jim 是 业务 组 (sales) 成 
员 ,， lii 和 ann 是 技术 组 (tech) 成 员 ， 两 组 成 员 都 只 能 访问 各 自 的 共享 目录 ， 不 能 相互 访 
间 。 经 理 bob 可 以 访问 所 有 的 共享 目录 。 员 工 都 可 以 访问 自己 的 home 目录 。 
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实施 步骤 如 下 。 
(1) 创建 5 个 用 户 及 两 个 工作 组 。Bob 作为 经 理 同 事 素 属于 两 个 组 。 首 先 向 Linux 系 
统 中 添加 sales 与 tech 用 户 组 : 


# groupadd sales 
# groupadd tech 


然后 需要 向 系统 中 添加 员工 用 户 信 息 。 


# useradd -g sales tom 

# useradd -g sales jim 

# useradd -g tech 1ili 

# useradd -g tech ann 

# useradd -G tech,sales bob 


(2) 修改 Samba 主 配 置 文件 ， 添 加 共享 目录 。 分 别 在 根 目录 建立 sales 目录 与 tech 目 
并 更 改 目 录 权限 ， 使 用 户 能 够 正常 对 目录 进行 读 写 : 


# mkdir /sales /tech 
# chmod 777 /sales /tech 


六 


# vi /etc/samba/smb .conf 


并 在 文件 尾部 添加 内 容 如 下 : 


[tech] 
comment = tech 
path = /tech 
valid users=@tech, bob 
# 有 效能 够 登录 的 用 户 为 tech 组 用 户 与 bob 
write list=@tech,bob 
# 有 效能 够 登录 的 用 户 为 tech 组 用 户 与 bob 


read only =No 


[sales] 
comment = sales 
path = /sales 
valid users=@sales, bob 
# 有 效能 够 登录 的 用 户 为 sales 组 用 户 与 bob 
write list=@sales,bob 
# 有 效能 够 登录 的 用 户 为 sales 组 用 户 与 bob 


read only =No 


实现 每 个 员工 都 有 自己 的 home 目录 ， 只 要 保持 /etc/samba/smb.conf 中 关于 [home] 目 录 
选项 不 变 即 可 : 


[homes] 
comment = Home Directories 
browseable = no 
writable = yes 
valid users = %S 
valid users = MYDOMAIN\®S 


(3) 创建 Samba 用 户 ， 将 所 有 用 户 添加 到 samba 服务 器 中 : 


# smbpasswd -a jim 
# smbpasswd -a tom 
# smbpasswd -a 1ili 
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# smbpasswd -a ann 
# smbpasswd -a bob 


(4) 关闭 防火 墙 、 设 置 SELinux 至 permissive 模式 并 启动 Samba 服务 : 


# service iptables stop 
# setenforce 0 
# service smb start 


启动 SMB 服务 : [确定 ] 
启动 NMB 服务 : [确定 ] 
# ps -eaf | grep smb 

root 9796 1 0 16:54 ? 00:00:00 smbd -D 
root 9799 9796 0 16:54 2? 00:00:00 smbd -D 
root S602 9796 © L6355 2 00:00:00 smbd -D 
root 9815 9448 0 16:55 pts/3 00:00:00 grep smb 


(5) 测试 bob 用 户 : 


# smbclient //192.168.0.103/bob -U bobsbob 
Domain=[BOGON] 0S=[Unix] Server=[Samba 3.0.33-3.28.el5] 
smb: \> 
# smbclient //192.168.0.103/sales -U bobsbob 
Domain=[BOGON] OS=[Unix] Server=[Samba 3.0.33-3.28.el5] 
smb: \> 
# smbclient //192.168.0.103/tech -U bob%bob 
Domain=[BOGON] OS=[Unix] Server=[Samba 3.0.33-3.28.el5] 
smb: \> 


由 上 面 结果 可 知 ， 经 理 bob 用 户 对 于 个 人 目录 、sales 目录 、tech 目录 均 有 访问 权限 。 
(6) 测试 sales 组 tom 账号 : 


# smbclient //192.168.0.103/tom -U tomstom 
Domain=[BOGON] O0S=[Unix] Server=[Samba 3.0.33-3.28.el5] 
smb: \> 

# smbclient //192.168.0.103/sales -U tomgstom 
Domain=[BOGON] OS=[Unix] Server=[Samba 3.0.33-3.28.el5] 
smb: \> 

# smbclient //192.168.0.103/tech -U tomstom 
Domain=[BOGON] 0S=[Unix] Server=[Samba 3.0.33-3.28.el15] 
tree connect failed: NT_STATUS ACCESS DENIED 


由 上 面 结果 可 知 ，sales 组 tom 用 户 能 访问 个 人 目录 、sales 目录 ， 但 是 无 法 访问 技术 
组 共享 目录 tech。 
(7) 测试 tech 组 ann 账号 : 


# smbclient //192.168.0.103/ann -U anngsann 
Domain=[BOGON] OS=[Unix] Server=[Samba 3.0.33-3.28.el15] 
smb: \> 

# smbclient //192.168.0.103/tech -U anngsann 
Domain=[BOGON] 0S=[Unix] Server=[Samba 3.0.33-3.28.el5] 
smb: \> 

# smbclient //192.168.0.103/sales -U anngsann 
Domain=[BOGON] OS=[Unix] Server=[Samba 3.0.33-3.28.el15] 
tree connect failed: NT _ STATUS ACCESS DENIED 


由 上 面 结果 可 知 ，tech 组 ann 用 户 能 访问 个 人 目录 、tech 目录 。 但 是 无 法 访问 业务 组 
共享 目录 sales。 
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7.9.2 配置 案例 2 


【 例 7-2】 某 企业 需要 配置 一 台 CentOS 5 操作 系统 
的 文件 服务 器 ， 使 企业 内 员工 可 以 实现 文件 资源 共享 
及 网 络 打 印 机 共享 。 该 企业 的 网 络 拓 扑 如 图 7-14 所 
示 ， 企 业 中 客户 端 使 用 的 Windows XP 操作 系统 。 其 中 
设计 部 计算 机 使 用 192.168.0.0/24 网 段 ， 市 场 部 计算 机 
使 用 192.168.1.0/24 网 段 ， 财 务 部 计算 机 使 用 
192.168.2.0/24 网 段 。 该 文件 服务 器 人 地 址 为 
192.168.0.2; FQDN 为 fs.example.com.， 客 户 端 已 配置 
完成 。 每 位 员工 用 户 建 立 完成 并 将 /dev/sda10 挂 载 到 
/share 作为 共享 分 区 。 企 业 对 文件 服务 器 的 要 求 如 下 。 
@ ”财务 部 及 设计 部 所 有 客户 端 ， 除 公用 计算 机 和 
(pubexample com) 外 ， 均 可 以 使 用 该 文件 服务 器 。 oe 
@ ”设计 部 所 有 客户 端 可 以 使 用 文件 服务 器 上 的 光驱 。 
e@ 需要 一 个 存放 内 部 资料 的 目录 ， 所 有 用 户 只 可 读 其 中 内 容 。 
e@ 每 个 部 门 有 一 个 需要 一 个 存放 资料 的 公用 目录 ， 只 允许 该 部 门 员工 可 见 / 可 读 / 
可 写 。 
e@ 每 个 部 门 的 公用 目录 中 的 内 容 ， 除 了 上 传 文件 的 用 户 及 管理 员 以 外 其 他 用 户 不 能 
删除 。 
e@ 每 位 员工 有 一 个 可 读 写 的 目录 ， 且 该 目录 部 门 经 理 可 读 。 
案例 实施 过 程 如 下 。 
(1) 在 人 .example.com 上 安装 Samba 服务 。 


#rpm -ivh samba-* system-config-samba—* 


(2) 在 fs.example.com 上 配置 /dev/sda10 挂 载 参数 ， 让 该 分 区 支持 acl 及 硬盘 配额 。 在 
/etc/fstab 中 将 /dev/sda10 的 参数 改 为 以 下 内 容 ， 修 改 完成 后 用 mount -o remount /share 命令 
重新 载 入 挂 载 参数 。 


# /dev/sdal0 /share ext3 defaults,acl,usrquota, grpquota 0 0 


(3) 在 fs.example.com 上 根据 部 门 建立 用 户 组 ， 并 将 用 户 加 入 相应 组 (W 开 头 为 注释 
语句 )。 
// 设 计 部 部 门 组 


# groupadd design 

// 财 务 部 部 门 组 

# groupadd finance 

// 部 门 经 理 组 

# groupadd manager 

// 以 下 是 将 设计 部 所 有 员工 初始 组 设置 为 design 
# usermod -g design davidxu 

# usermod -g design tomyang 

以 下 是 将 财务 部 所 有 员工 初始 组 设置 为 finance 


# usermod -g finance mikeliu 
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# usermod -g finance janeli 

以 下 是 将 manager 组 加 入 财务 部 及 设计 部 二 位 经 理 的 额外 组 
# usermod -aG manager davidxu 

# usermod -aG manager janeli 


(4) 在 fs.example.com 上 建立 所 需 目录 。 


// 内 部 资料 公用 目录 。 

# mkdir /share/public 

// 设 计 部 专用 目录 。 

# mkdir /share/design 

// 财 务 部 专用 目录 。 

# kdir /share/finance 

// 设 计 部 公用 目录 。 

# mkdir /share/design/public 
// 财 务 部 公用 目录 。 


# mkdir /share/finance/public 


// 以 下 是 为 每 位 员工 建立 专用 目录 

# mkdir /share/design/davidxu 

# mkdir /share/design/tomyang 

# mkdir /share/finance/mikeliu 
# mkdir /share/finance/janeli 


// 以 下 是 为 通过 Sticky 实现 每 个 部 门 公用 目录 除了 上 传 文件 的 用 户 及 管理 员 以 外 其 他 用 户 不 # 能 删除 
# chmod o+t /share/design/public 
# chmod o+t /share/finance/public 


(5) 在 fs.example.com 上 将 系统 用 户 加 入 Samba 服务 器 。 


# smbpasswd -a davidxu 
# smbpasswd -a tomyang 
# smbpasswd -a mikeliu 
# smbpasswd -a janeli 


(6) 在 fs.example.com 上 使 用 如 下 命令 修改 SELinux 状态 。 


setsebool -P samba domain controller on 
setsebool -P samba enable home dirs on 
setsebool -P samba export all rw on 
setsebool -P smbd disable trans=1 

chcon -R -t samba share t /share 

chcon -R -t samba share t /bin/mount 
chcon -R -t samba share t /bin/umount 


(7) 在 fs.example.com 上 修改 smb.conf， 在 [global] 标 签 下 加 入 如 下 内 容 。 


[globall] 
hosts allow = lo 192.168.0. 192.168.2. EXCEPT 192.168.0.99 
include = /etc/samba/%G.smb.conf 
include = /etc/samba/%U.smb.conf 


(8) 在 人 .example.com 上 修改 smb.conf 文件 ， 内 容 如 下 。 


[public] 
path = /share/public 


间 利 砷 半音 音 御 


[cdrom] 
path = /mnt/cdrom 
root preexec = /bin/mount -t iso9660 /dev/cdrom /mnt/cdrom 
root postexec = /bin/umount /mnt/cdrom 
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(9) 在 全 .example.com 上 /etc/samba 目录 下 建立 以 下 子 配 置 文件 。 
修改 design.smb.conf 文件 : 


[design] 
path = /share/design/public 
write list = @design 


修改 davidxu.smb.conf 文件 : 


[davidxu] 
path = /share/design/davidxu 
write list = davidxu 


[tomyang] 
path = /share/design/tomyang 
readonly = yes 


修改 tomyang.smb.conf 文件 : 


tomyang 
path = /share/design/tomyang 
write list = tomyang 


修改 finance.smb.conf 文件 : 


finance 
path = /share/finance/public 
write list = @finance 


修改 mikeliu.smb.conf 文件 : 


mikeliu 
path = /share/finance/mikeliu 
write list = mikeliu 


[janelil] 
path = /share/finance/janeli 
read only = yes 


修改 janelismb.conf 文件 


[janelil] 
path = /share/finance/janeli 
write list = janeli 


(10) 在 fs.example.com 上 设置 目录 自身 权限 。 


# setfacl -R -m d:g:design:rwx /share/design 

# setfacl -R -m g:design:rwx/share/design 

# setfacl -R -m d:g:finance:rwx /share/finance 
# setfacl -R -m g:finance:rwx /share/finance 


(11) 在 fs.example.com 上 启动 Samba 服务 ， 并 设置 为 下 次 启动 自动 加 载 。 


# service smb restart 
# chkconfig smb on 


到 此 Samba 服务 器 的 配置 已 可 满足 该 企业 的 所 有 需求 。 
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7.10 本 章 小 结 


Samba 是 Linux/Unix 中 最 常用 的 文件 共享 软件 之 一 。 本 章 首 先 介绍 了 Samba 概况 、 
安装 与 配置 文件 ， 然 后 介绍 了 Samba 服务 器 的 具体 配置 参数 、 服 务 器 启动 停止 方法 和 
Samba 下 的 常用 工具 命令 ; 最 后 介绍 了 Samba 服务 器 和 客户 端的 具体 配置 方法 。 读 者 可 
根据 两 个 配置 案例 进行 试验 ， 配 置 自己 的 Samba 文件 共享 服务 器 。 


7.11 课 后 习题 


1. 填空 题 


(1) Samba 服务 的 主 配置 文件 路 径 及 文件 名 是 

(2) Linux 中 图 形 界面 配置 Samba 服务 器 的 软件 包 是 
(3) 使 用 smbpasswd 命令 向 Samba 服务 器 中 添加 用 户 的 先决 条 件 
(4) SMB 是  _ 的 缩写 。 


2. 选择 题 


(1) 某 公 司 使 用 Linux 系统 搭建 了 Samba 文件 服务 器 ， 在 账号 为 benet 的 员工 出 差 期 
间 ， 为 了 避免 该 账号 被 其 他 员工 冒 用 ， 需 要 临时 将 其 禁用 ， 可 以 使 用 以 下 ( 。 ) 命 令 。 
A. smbpasswd -a benet B. smbpasswd -d benet 
C. smbpasswd -e benet D. smbpasswd -x benet 
(2) 关于 Samba 用 户 账号 ， 以 下 说 法 错误 的 是 (  )。 
A. 使 用 smbpasswd -a 添加 的 Samba 账号 必须 已 经 是 Linux 的 系统 用 户 账号 
B. 使 用 smbpasswd -x 删除 一 个 Samba 用 户 时 ， 同 名 的 系统 用 户 将 会 被 锁定 
C. Samba 用 户 和 同名 系统 用 户 的 口令 可 以 不 一 致 
D. 若 Samba 用 户 不 需要 登录 Linux 系统 时 ， 同 名 系统 用 户 可 以 不 设置 口令 
(3) Samba 服务 器 可 以 在 Linux/Unix 系统 中 提供 Windows 文件 共享 服务 ， 在 RHEL4 
系统 中 默认 安装 了 Samba 服务 器 和 客户 机 所 需要 的 软件 包 ， 在 与 Samba 服务 器 相关 的 软 
件 包 中 ，( ”) 是 Red Hat 公司 专门 为 Samba 服务 器 提供 的 配置 工具 。 
A. samba-common  B. samba CC. samba-client D. system-config-samba 
(4) 在 CentOS 5 中 ， 用 samba 向 windows 提供 共享 服务 时 ， 使 用 用 户 认证 来 保证 合 
法 访问 ， 下 列 关于 samba 用 户 描述 正确 的 是 ( )。( 选 择 三 项 ) 
A. samba 用 户 必须 是 系统 用 户 B. 可 以 使 用 smbuseradd 添加 samba 用 户 
C. samba 用 户 必 须 和 系统 用 户 同名 D. 可 以 使 用 smbpasswd 修改 samba 用 户 密码 
(5) 你 在 某 台 Windows 计算 机 上 共享 了 一 个 文件 夹 ， 并 想 在 CentOS 5.5 计算 机 上 访 
问 它 ， 可 以 使 用 的 命令 有 ( ”)。 
A. mount B. smbclient C. share D. fp 
3. 简 答题 


(1) 简 述 Samba 服务 器 配置 步骤 。 
(2) 简 述 Samba 服务 器 的 优点 。 


随 着 Internet 上 Web 服务 的 发 展 ， 几 乎 各 个 政府 部 门 、 公 司 、 
大 专 院 校 、 科 研 院 所 等 都 在 构建 或 正在 建设 自己 的 网 站 ， 
WWW(World Wide Web， 万 维 网 ) 已 经 成 为 Internet 获取 信息 的 主要 
途径 。Web 服务 是 实现 信息 发 布 、 资 料 查询 、 数 据 处 理 、 视 频 点 播 
等 诸多 应 用 的 基本 平台 ， 所 以 架设 Web 服务 器 是 Internet 和 Intranet 
必 不 可 少 的 工作 。 本 章 将 详细 介绍 Web 的 工作 原理 、HTTP 协议 以 
及 如 何 使 用 功能 强大 的 Apache 服务 器 软件 来 架设 Web 服务 器 。 
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8.1 WWW 服务 概述 


Web 服务 是 Intemet 中 最 为 重要 的 应 用 ， 它 是 实现 信息 发 布 、 资 料 查询 、 数 据 处 理 和 
视频 点 播 等 诸多 应 用 的 基本 平台 ， 并 采用 超级 链接 (Hypertexb 的 方式 ， 将 信息 透 过 Intemet 
传递 到 世界 各 处 。Web 服务 器 作为 网 站 的 载体 ， 是 信息 内 容 的 发 布 者 ， 最 常见 的 客户 端 是 
浏览 器 ， 是 信息 内 容 的 接收 者 。 


8.1.1 HTTP 协议 


网 络 的 目的 就 是 使 信息 更 易于 获取 ， 而 不 管 它们 的 地 理 位 置 在 哪里 。 当 使 用 超 文本 
作为 WWW 文档 的 标准 格式 后 ， 人 们 开发 了 可 以 快速 获取 这 些 超 文本 文档 的 协议 一 一 
HTTP(HyperText Transfer Protocol) 协 议 ， 即 超 文本 传输 协议 。 

HTTP 是 应 用 层 的 协议 ， 主 要 用 于 分 布 式 、 协 作 的 信息 系统 。HTTP 协议 是 通用 的 、 
无 状态 的 ， 其 系统 的 建设 和 传输 的 数据 无 关 。HTTP 也 是 面向 对 象 的 协议 ， 可 以 用 于 各 种 
任务 ， 包 括 名 字 服 务 、 分 布 式 对 象 管理 、 请 求 方法 的 扩展 、 命 令 等 。 

在 mternet 上 ，HTTP 通信 往往 发 生 在 TCP/IP 连接 上 ， 其 默认 的 端口 为 80， 也 可 以 使 
用 其 他 端口 。 


8.1.2 统一 资源 标识 符 URI 


Web 服务 中 的 可 用 的 每 种 资源 ， 不 论 是 HTML 文档 、 图 像 、 视 频 片 段 还 是 程序 程 
都 由 一 个 通用 资源 标志 符 (Uniform Resource Identifier, 简称 “URI”) 进 行 定 位 。 
在 HIML 中 ，URI 主要 有 以 下 的 作用 : 

@ ”链接 到 另 一 个 文档 或 资源 。 

链接 到 一 个 外 部 样式 表 或 脚本 。 

在 页 内 包含 图 像 、 对 象 或 applet。 

建立 图 像 映射 。 

提交 一 个 表单 。 

建立 一 个 框架 文档 。 

引用 一 个 外 部 参考 。 

指向 一 个 描述 文档 的 metadata。 

URI 一 般 由 以 下 三 部 分 组 成 。 


1. 存放 资源 的 主机 名 


资源 自身 的 名 称 ， 由 路 径 表 示 。 

例如 下 面 的 URI， 它 使 用 当前 的 HTML4.0 规范 书写 。 

http://www.webmonkey.com.cn/html/html140/ 

这 个 URI 的 含义 是 : 这 是 一 个 可 通过 HITP 协议 访问 的 资源 ， 位 于 主机 
www.webmonkey.com.cn 中 ， 通 过 路 径 “/html/html40” 访 问 。 在 HTML 文档 中 其 他 资源 


序 
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包括 “mailto”( 收 发 E-mail 和 “ftp”(FTP 访问 )。 
又 例如 下 面 是 一 个 表示 用 户 E-Mail 地 址 的 URI。 


mailto:abc@163.com 


这 注意 : ”很 多 读者 可 能 熟悉 URL(Uniform Resource Locator， 统 一 资源 定位 符 )， 而 不 
是 URI。 实 际 上 ， 虽 然 两 个 词 的 名 称 相近 ， 但 表示 的 意思 却 有 很 大 的 差别 ， 
可 以 说 ，URL 只 是 URI 命 名 机 制 的 一 个 子 集 。 
2. 片段 标志 符 
有 的 URI 指向 一 个 资源 的 内 部 。 这 种 URI 以 “#” 结 束 ， 并 跟着 一 个 anchor 标志 符 
( 称 为 片段 标志 符 )。 例 如 ， 下 面 是 一 个 指向 section 2 的 URI。 


http://somesite.com/html/top.htm#section 2 


3. 相对 URI 


相对 URI 不 包含 任何 命名 规范 信息 。 它 的 路 径 通 常 指 同一 台 机 器 上 的 资源 。 相 对 
URI 可 能 含有 相对 路 径 (如 “..” 表 示 上 一 层 路 径 )， 还 可 能 包含 片段 标志 符 。 

为 了 说 明 相对 URI， 假 设 我 们 有 一 个 基本 的 URI: http://www.acme.com/ 
support/intro.htm。 下 面 的 链接 中 使 用 了 相对 URI: 


Suppliers 


它 扩展 成 完全 的 URI 就 是 “http://www.acme.com/support/suppliers.htm”。 
下 面 是 一 个 图 像 的 相对 URI: 


<IMG src="../icons/logo.gif" alt="1ogo"> 


它 扩展 成 完全 的 URI 就 是 “http://www.acme.com/icons/logo.gif”。 


8.1.3 Web 服务 


Web 服务 的 实现 采用 客户 /服务 器 (C/S) 模 型 。 客 户 机 运行 WWW 客户 程序 一 一 浏览 
器 ， 它 提供 良好 、 统 一 的 用 户 界面 。 浏 览 器 的 作用 是 解释 和 显示 Web 页 面 ， 响 应 用 户 的 
输入 请 求 ， 并 通过 HTTP 协议 将 用 户 请 求 传 递 给 Web 服务 器 。Web 服务 器 一 端 运行 服务 
器 程序 ， 它 最 基本 的 功能 是 侦 听 和 响应 客户 端的 HITP 请 求 ， 向 客户 端 发 出 请 求 处 理 结果 
信息 。 

Web 服务 通常 可 以 分 为 两 种 : 静态 Web 服务 和 动态 Web 服务 。 

1. 静态 Web 服务 


在 静态 Web 服务 中 ， 服 务 器 只 是 简单 地 负责 把 存储 的 文档 发 送 给 客户 端 浏览 器 ， 在 
此 过 程 中 传输 的 网 页 只 有 在 网 页 编辑 人 员 利 用 编辑 工具 对 它们 修改 后 ， 才 会 发 生变 化 。 


2. 动态 Web 服务 
动态 Web 服务 能 够 实现 浏览 器 和 服务 器 之 间 的 数据 交互 。Web 服务 器 通过 CGI、 
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ASP、PHP 和 JSP 等 动态 网 站 技术 ， 可 以 向 浏览 器 发 送 动 态 变化 的 内 容 。 在 此 过 程 中 ， 服 
务 器 根据 客户 端 浏览 器 发 出 的 不 同 请 求 ， 在 服务 器 端 执行 程序 ， 组 织 好 文档 后 再 将 结果 发 
送 至 客户 端 。 


8.2 HTTP 服务 的 工作 原理 


作为 Web 系统 最 核心 的 内 容 ，HTTP 协议 是 一 个 在 TCP/IP 协议 基础 上 的 应 用 程序 级 
协议 。 它 基于 请 求 /响应 范式 。 一 个 客户 端 与 服务 器 建立 连接 后 ， 发 送 一 个 请 求 给 服务 
器 ， 请 求 消息 的 格式 包括 URI、 协 议 版 本 号 和 MIME 信息 ，MIME 信息 包括 请 求 修饰 
符 、 客 户 机 信息 和 其 他 内 容 。 服 务 器 接收 到 请 求 后 ， 将 给 予 相应 的 响应 信息 ， 其 格式 包括 
HTTP 的 协议 版 本 号 、 一 个 成 功 或 错误 代码 以 及 MIME 信息 ，MIME 信息 包括 服务 器 信 
息 、 实 体 信息 和 可 能 的 内 容 。 


8.2.1 HTTP 的 通信 过 程 


最 简单 的 HTTP 通信 方式 是 由 用 户 代 理 和 源 服务 器 之 间 通 过 一 个 单独 的 连接 来 完成 ， 
如 图 8-1 所 示 。 


图 8-1 简单 的 HTTP 连接 


客户 端的 用 户 代理 首先 向 服务 器 发 起 连接 请 求 ， 源 服务 器 接收 请 求 后 建立 TCP 连 
接 ， 然 后 客户 端 通过 建立 的 TCP， 连接 提交 一 个 申请 服务 器 资源 的 请 求 链 ， 如 果 服 务 器 能 
够 满足 请 求 链 的 要 求 ， 就 回应 给 客户 端 一 个 响应 链 。 

但 往往 服务 器 和 客户 端 之 间 并 不 能 直接 连接 ， 中 间 会 出 现 一 个 或 者 多 个 中 介 ， 这 时 ， 
情况 就 变 得 复杂 一 些 ， 如 图 8-2 所 示 。 


图 8-2 多 个 中 介 的 HTTP 连接 
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此 时 ， 客 户 端 和 服务 器 之 间 的 数据 通道 不 是 直接 连通 的 ， 而 是 通过 中 介 进 行 转发 。 也 
就 是 说 ， 客 户 端的 请 求 链 要 经 过 中 介 才 能 到 达 服务 器 ， 而 服务 器 的 回应 链 也 需要 经 过 中 介 
才能 到 达 客 户 端 。 虽 然 图 中 的 连接 是 线性 的 ， 但 是 每 一 个 节点 都 可 能 从 事 多 重 并 发 的 通 
信 ， 即 同时 处 理 多 个 请 求 链 或 者 回应 链 。 

在 HITP 协议 中 ， 中 介 包 括 以 下 3 种 类 型 。 


1. 代理 (Proxy) 


代理 根据 URI 的 绝对 格式 来 接受 请 求 ， 重 写 全 部 或 者 部 分 消息 ， 通 过 URI 标识 将 已 
修改 的 请 求 发 送 到 服务 器 。 


2. 网 关 (Gateway) 


网 关 是 一 个 接收 代理 ， 作 为 一 些 其 他 服务 器 的 上 层 ， 并 且 如 果 需 要 ， 可 以 将 请 求 翻译 
给 下 层 的 服务 器 协议 。 


3. 通道 (Tunel) 


通道 不 会 改变 消息 内 容 ， 只 是 两 个 连接 之 间 的 中 继 点 ， 当 通信 只 需要 简单 的 穿 过 中 介 
或 者 中 介 不 需要 识别 消息 内 容 时 ， 经 常 使 用 通道 作为 中 介 。 

另外 ， 除 了 通道 外 ， 代 理 和 网 关 还 具有 内 部 缓存 的 功能 ， 即 代理 或 者 网 关 可 以 将 回应 
链 中 的 资源 暂时 存储 在 本 服务 器 的 缓存 中 ， 如 果 有 客户 端 再 次 请 求 该 资源 ， 那 么 该 中 介 不 
需要 再 将 请 求 链 发 送 到 所 请 求 的 服务 器 中 ， 而 是 直接 可 以 将 之 前 缓存 的 资源 发 送 给 客户 
端 。 这 样 不 但 响应 速度 加 快 ， 也 节省 了 大 量 的 网 络 资源 。 当 然 ， 缓 存 的 数据 还 需要 及 时 更 
新 ， 才 能 与 源 服务 器 数据 保持 一 致 。 


8.2.2 HTTP 的 请 求 行 和 应 答 行 


在 HITP 协议 中 ， 一 个 通信 信息 的 交换 过 程 主要 分 为 5 个 阶段 : 

(1) Web 浏览 器 使 用 HTTP 命令 向 一 个 特定 的 服务 器 发 出 Web 页 面 请 求 消息 。 

(2) 若 该 服务 器 在 特定 端口 (通常 是 TCP 80 端口 ) 处 接收 到 Web 页 面 请 求 后 ， 就 发 送 
一 个 应 答 并 在 客户 和 服务 器 之 间 建 立 连接 。 

(3) 服务 器 Web 查找 客户 端 所 需 文 档 ， 若 Web 服务 器 查找 到 所 请 求 的 文档 ， 就 会 将 
所 请 求 的 文档 传送 给 Web 浏览 器 。 若 该 文档 不 存在 ， 则 服务 器 会 发 送 一 个 相应 的 错误 提 
示 文 档 给 客户 端 。 

(4) Web 浏览 器 接收 到 文档 后 ， 就 将 它 显 示 出 来 。 

(5) 当 客 户 端 浏览 完成 后 ， 就 断 开 与 服务 器 的 连接 。 

HTTP 协议 的 请 求 消息 的 格式 如 下 : 

< 请 求 行 > 

[通用 头 域 ] 

[请 求 头 域 ] 

[实体 头 域 ] 


CRVLE 


[实体 数据 ] 
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HTTP 协议 的 应 答 消息 的 格式 如 下 : 
< 应 答 行 > 

[通用 头 域 ] 

[应 答 头 域 ] 


[实体 头 域 ] 
CR/LF 


[实体 数据 ] 

在 以 上 的 格式 中 ， 每 一 种 头 域 都 可 以 有 一 个 或 者 多 个 成 员 ， 以 “域名 : 域 值 ” 的 形式 
给 出 。 请 求 行 由 3 部 分 组 成 : 请 求 方法 、URI 和 HTTP 版 本 ， 之 间 以 空格 分 隔 ， 例 如 下 面 
的 代码 是 一 个 典型 的 请 求 行 : 

GET http://httpd.apache.org/docs/2.2/license.html HTTP/1.1 

其 中 ，GET 是 请 求 方法 ，http://httpd.apache.org/docs/2.2/license.html 是 URI， 
HTTP/1.1 是 协议 版 本 。 在 HTTP 规范 中 一 共 定 义 了 8 种 可 能 的 请 求 方法 ， 其 名 称 和 含义 
如 表 8-1 所 示 。 


表 8-1 HTTP 协议 请 求 方法 及 其 含义 


请 求 方法 含义 
GET 检索 URI 所 标识 的 资源 
HEAD 与 GET 方法 相同 ， 但 只 要 求 返回 状态 行 和 头 域 ， 并 不 返回 所 请 求 的 内 容 
POST 向 服务 器 发 送 数据 ， 请 求 服务 器 接收 
PUT 服务 器 保存 请 求 数据 作为 制定 URI 新 内 容 的 请 求 
DELETE 请 求 服务 器 删除 指定 URI 中 命名 的 资源 
OPTIONS 请 求 得 到 服务 器 所 支持 的 请 求 方法 
TRACE 用 于 调用 已 请 求 消息 的 远程 、 应 用 层 回 送信 息 
CONNECT 预 留 所 谓 隧 道 功能 ， 还 未 实现 


在 这 8 种 请 求 方法 中 ，GET、HEAD、POST 方法 是 大 部 分 Web 服务 器 都 支持 的 。 其 
他 的 几 种 方法 处 于 安全 等 原因 的 考虑 ， 很 少 得 到 支持 。 

应 答 消息 的 应 答 行 也 由 3 部 分 组 成 : HITP 版本、 响应 代码 和 响应 描述 ， 他 们 之 间 使 
用 空格 隔 开 ， 一 个 典型 的 应 答 行 实例 如 下 面 的 代码 所 示 : 


HTTP/1.1 200 OK 


其 中 ，HTTP/1.1 代表 服务 器 可 以 接受 的 最 高 协议 版 本 。200 为 响应 代码 ， 所 有 的 响应 
代码 由 3 位 数字 组 成 ， 指 出 请 求 的 成 功 或 者 失败 ， 如 果 失 败 则 会 给 出 原因 。 响 应 代码 的 规 
定 及 具体 含义 如 表 8-2 所 示 。 


表 8-2 HTTP 协议 响应 代码 及 其 含义 
响应 代码 含义 

1XX | 信息 ， 请 求 收 到 ， 继 续 处 理 

2xX 成 功 ， 行 为 被 成 功 的 接受 、 理 解 和 采纳 
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续 表 
响应 代码 含义 
3XX | 重 定向 ， 为 了 完成 请 求 ， 必 须 进 一 步 执行 的 动作 
4XX | 客户 端 错误 ， 请 求 包含 语法 错误 或 者 请 求 无 法 实现 
5XX 服务 器 端 错误 ， 服 务 器 不 能 实现 此 请 求 


8.2.3 持久 连接 和 非 持久 连接 


在 客户 端 向 服务 器 发 出 请 求 之 前 ， 首 先 必须 与 服务 器 建立 TCP 连接 。 在 HTTP 协议 
中 规定 ，TCP 连接 既 可 以 是 非 持久 的 连接 ， 也 可 以 是 持久 的 连接 ， 而 具体 采用 哪 种 方式 是 
由 通用 头 域 中 的 Connection 值 来 决定 的 。 在 HTTP/1.0 版 本 中 ， 默 认 使 用 的 是 非 持久 连 
接 ， 而 HITP/1.1 版 本 默认 使 用 的 是 持久 连接 。 


1. 非 持久 连接 


下 面 我 们 举 一 个 例子 来 说 明 非 持久 连接 是 如 何 工 作 的 。 假 设 客户 端 以 非 持 久 连 接 向 服 
务 器 请 求 传送 一 个 Web 页 面 ， 这 个 页 面 由 1 个 HTML 文件 和 若干 个 图 片 文件 组 成 ， 这 些 
文件 都 存放 在 同一 台 服 务 器 中 ， 假 设 该 网 页 URL 地 址 为 http://www.163.com/index.html。 
那么 ， 在 非 持久 连接 的 传输 过 程 如 下 : 

(1) 客户 端 初始 化 一 个 与 主机 www.163.com 中 的 Web 服务 器 的 TCP 连接 ， 服 务 器 使 
用 默认 端口 号 80 接受 此 连接 请 求 。 

(2) HTTP 客户 端 经 由 与 TCP 连接 相关 的 本 地 套 接 字 发 出 一 个 HTTP 请 求 ， 这 个 请 求 
中 包含 路 径 名 /index.html。 

(3) Web 服务 器 接受 此 套 接 字 请 求 消息 ， 从 服务 器 的 主机 内 存 或 者 硬盘 中 取出 请 求 对 
象 /index.html， 经 由 同一 个 套 接 字 发 出 包含 该 对 象 的 应 答 消息 。 

(4) Web 服务 器 告知 本 地 的 TCP 协议 栈 关闭 这 个 TCP 连接 。 

(5) HTTP 客户 端 接收 应 答 消 息 ， 并 同意 断 开 TCP 连接 。 

(6) 客户 端 从 应 答 消息 中 的 头 域内 容 取出 这 个 HTML 文件 ， 从 中 分 析 后 发 现 还 需要 若 
干 个 图 片 文件 才能 正常 显示 该 网 页 。 

(7) 客户 端 重复 (D) 一 (5) 的 步 又， 从 服务 器 中 得 到 所 需要 的 每 一 个 图 片 文件 。 这 时 ， 整 
个 请 求 网 页 的 过 程 完成 。 

从 上 述 的 步骤 可 以 看 出 ， 非 持续 连接 在 每 次 服务 器 发 送 一 个 对 象 后 ， 相 应 的 TCP 连 
接 就 被 关闭 ， 也 就 是 说 每 一 个 连接 都 没有 持续 到 可 用 于 传送 其 他 的 对 象 。 每 一 个 TCP 连 
接 只 用 于 传送 一 个 请 求 消息 和 一 个 应 答 消息 。 

2. 持久 连接 

于 非 持 久 连 接 不 同 ， 持 久 连 接 在 服务 器 发 出 每 一 个 响应 后 都 可 以 继续 保持 TCP 连 
接 ， 同 一 对 客户 端 和 服务 器 的 后 续 请 求 和 响应 都 可 以 通过 这 个 连接 继续 发 送 。 不 仅 这 个 
Web 页 面 可 以 通过 一 个 持久 连接 发 送 ， 而 且 还 可 以 将 服务 器 中 的 多 个 Web 页 面 都 通过 这 
个 TCP 连接 发 送 。 
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3. 非 持久 连接 与 持久 连接 的 比较 


通过 对 比 ， 我 们 可 以 看 出 ， 非 持久 连接 有 些 缺 点 。 首 先 ， 客 户 端 需要 为 每 个 请 求 对 象 
建立 并 维护 一 个 新 的 连接 ， 这 需要 占用 客户 端 和 服务 器 的 资源 。 对 于 可 能 同时 为 成 千 上 万 
个 不 同 客户 端 提供 服务 的 Web 服务 器 来 说 。 这 会 严重 增加 负担 。 另 外 ， 建 立 TCP 连接 是 
需要 耗费 一 定 的 时 间 ， 这 也 使 访问 Web 服务 器 的 速度 减 慢 。 而 持久 连接 就 很 好 地 改善 了 
以 上 的 两 个 问题 。 


8.3 Apache 简介 


开放 源 代码 的 Apache( 阿 帕 奇 ) 服 务 器 起 初 由 也 inois 大 学 Urbana-Champaign 的 国家 高 
级 计算 程序 中 心 开发 ， 后 来 Apache 被 开放 源 代 码 团体 的 成 员 不 断 地 发 展 和 加 强 。 开 始 
时 ，Apache 只 是 Netscape 网 页 服务 器 (现在 是 Sun ONE) 的 之 外 的 开放 源 代 码 选择 。 渐 渐 
地 ， 它 开始 在 功能 和 速度 上 超越 其 他 Web 服务 器 。 由 于 Apache 服务 器 拥有 牢靠 可 信 的 美 
誉 ， 因 此 从 1995 年 1 月 以 来 ，Apache 一 直 是 mternet 上 最 流行 的 Web 服务 器 。 

根据 著名 的 Web 服务 器 调查 公司 Netcrafe(http://www.netcraft.com) 的 最 新 调查 ， 截 止 
到 2012 年 3 月 ，Apache 的 市 场 占有 率 为 65.24%， 而 同期 IS 的 市 场 占 有 率 只 有 
13.81%， 如 图 8-3 所 示 。 不 难看 出 Apache 依然 是 目前 使 用 最 广泛 的 Web 服务 器 ， 并 且 市 
场 占 有 率 在 还 在 不 断 的 攀升 。 

Market Share for Top Servers Across All Domains 
August 1995 - March 2012 


Bo% 一 wache 


q0% 


Developer February 2012 Percent March 2012 Percent Change 
Apache 397,867,089 64.92% 420,337,139 65.24% 0.32 
Microsoft 88,210,995 14.39% 88,971,973 13.81% -0.58 


图 8-3 Web 服务 器 类 型 市 场 占有 率 
为 什么 Apache 能 保持 如 此 高 增长 速度 并 且 得 到 如 此 广泛 的 应 用 呢 ? 这 与 Apache 自身 
的 优点 是 分 不 开 的 。 其 主要 优点 有 以 下 几 个 方面 : 
@ 支持 HTTP/1.1 协议 : Apache 是 最 先 使 用 HTTP/1.1 协议 的 Web 服务 器 之 一 ， 它 
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完全 实现 了 HTTP/1.1 协议 并 与 HTTP/1.0 兼容 。 

@ ”支持 通用 网 关 接 口 (CGD: Apache 使 用 mod_cgi 模块 来 支持 CGI 功能 。 在 遵守 
CGL1.1 标准 的 同时 还 提供 了 扩充 的 特征 如 定制 环境 变量 功能 以 及 很 难 在 其 他 
Web 服务 器 中 找到 的 调式 支持 功能 。 

@ 支持 HITP 认证 : Apache 支持 基于 Web 的 基本 认证 ， 它 还 为 支持 基于 消息 摘要 
的 认证 做 好 了 准备 ，Apache 可 以 使 用 标准 的 密码 文件 ， 也 可 以 通过 对 外 部 认证 
程序 的 调用 来 实现 基本 的 认证 功能 。 

@ ”集成 Perl 语言 : Perl 已 成 为 CGI 脚本 编程 的 基本 标准 ， 这 与 Apache 的 支持 是 分 
不 开 的 。 通 过 mod_perl 模块 的 调用 ，Apache 可 以 将 基于 Perl 的 CGI 脚本 装 入 内 
存 ， 并 可 以 根据 需要 多 次 重复 使 用 该 脚本 ， 从 而 消除 了 执行 解释 性 语言 时 的 启动 
开销 。 

e@ ”集成 的 代理 服务 器 : Apache 可 以 作为 前 向 代理 服务 器 ， 也 可 以 作为 后 向 代理 服 
务 器 。 

@ 。 Apache 在 监视 服务 器 本 身 状态 和 记录 日 志方 面 提供 了 很 大 的 灵活 性 ， 可 以 通过 
Web 浏览 器 来 监视 服务 器 的 状态 ， 也 可 以 根据 自己 的 需要 来 定制 日 志 。 

@ 。 Apache 支持 虚拟 主机 : 即 通过 在 一 台 服 务 器 上 使 用 不 同 的 主机 名 来 提供 多 个 
HTTP 服务 。Apache 支持 包括 基于 IP、 名 称 、 和 Port 三 种 类 型 的 虚拟 主机 
服务 。 

@ ”Apache 的 模块 可 以 在 运行 时 按 需 动态 加 载 ， 避 免 了 不 需要 的 程序 代码 占用 内 存 
空间 。 

@ Apache 支持 安全 套 接 字 (SSL)。 

@ ”用 户 对 话 过 程 的 跟踪 功能 ;通过 使 用 HTTP Cookies， mod _usertrack 模块 可 以 在 
用 户 浏 览 Apache 的 Web 站 点 时 对 其 进行 跟踪 。 

@ 支持 Java Servlets: Apache 的 mod jserv 模块 支持 Java Servlets， 这 项 功能 可 以 使 
Apache 服务 器 支持 Java 应 用 程序 。 

@ 支持 多 进程 : 当 负 载 增加 时 ， 服 务 器 会 快速 生成 子 进程 来 应 对 ， 从 而 提供 系统 的 
响应 能 力 。 


[ 提 示 : 虽然 官方 网 站 对 Apache 名 字 的 解释 是 “Apache 这 个 名 字 是 为 了 纪念 名 为 
Apache( 印 地 语 ) 的 美洲 印第安 人 土著 的 一 支 ， 众 所 周知 他 们 拥有 高 超 的 作战 
策略 和 无 穷 的 耐性 ”， 可 是 流传 最 广 的 解释 是 (也 是 最 显而易见 的 )， 这 个 名 
字 来 自 这 么 一 个 事实 ， 当 Apache 在 1995 年 初 开 发 的 时 候 ， 它 是 由 当时 最 流 
行 的 HITP 服务 器 NCSA HTTPd 1.3 的 代码 修改 而 成 的 ， 因 此 是 “一 个 修补 
的 (apatchy)” 服 务 器 。 


8.4 _ Apache 服务 器 的 安装 及 运行 


目前 几乎 所 有 的 Linux 发 行 版 都 捆绑 了 Apache，CentOS 也 不 例外 ， 但 默认 情况 下 安 
装 程序 不 会 将 Apache 安装 在 系统 上 。 由 于 目前 Apache 被 重新 命名 为 httpd， 因 此 可 使 用 
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下 面 的 命令 检查 系统 是 否 已 经 安装 了 Apache 或 查看 已 经 安装 了 何 种 版 本 。 

[root@CentoOs ~]# rpm -q httpd 

httpd-2.2.3-43.el1l5.centos 

从 显示 内 容 可 以 看 出 ，CentOS 5.5 默认 已 经 安装 的 Apache 版 本 为 2.2.3。 如 果 Linux 
没有 默认 安装 ， 可 以 使 用 CentOS 安装 光盘 中 的 RPM 安装 包 来 安装 Apache， 使 用 以 下 的 
命令 : 


[rooteCcentOS ~]# rpm -ivh httpd-2.2.3-43.e15.centos.i386.rpm 


安装 成 功 后 ， 生 成 的 主要 文件 及 目录 有 : 
®@ /etc/httpd/conf/httpd.conf: Apache 的 主 配置 文件 。 
/etc/httpd/logs: Apache 日 志 的 存放 目录 。 
/etc/httpd/modules: Apache 模块 存放 目录 。 
/usr/lib/httpd/modules: Apache 模块 也 会 存放 在 此 目录 。 
/usr/sbin/apachectl: Apache 控制 脚本 ， 用 于 Apache 的 启动 、 停 止 、 重 启 等 
操作 。 
@ /usr/sbin/httpd: Apache 服务 器 的 进程 程序 文件 。 
@ /usr/shar/doc/httpd-2.2.3: Apache 的 说 明文 档 存放 位 置 。 
@ /varwww: Apache 提供 的 例子 网 站 。 
另外 ， 为 了 便于 学 习 ， 我 们 还 可 以 安装 Apache 的 帮助 手册 包 ， 名 为 httpd-manual- 
2.2.3-43.el5.centos.i386.rppm， 可 以 使 用 以 下 命令 来 安装 : 
[root@CentOs ~]# rpm -ivh httpd-manual-2.2.3-43.e15.centos.i386.rpm 


安装 完成 后 ， 在 /var/www/manual 目录 下 会 添加 网 页 形式 的 帮助 手册 ， 这 些 帮助 手册 
可 以 与 例子 网 站 很 好 的 结合 ， 帮 助 读者 学 习 Apache 的 使 用 。 

RPM 包 安 装 完成 后 ，Apache 使 用 默认 的 配置 即 可 运行 ， 使 用 以 下 的 命令 可 以 启动 
httpd 进程 。 

[root@CentOs usr]# service httpd start 

Starting httpd: httpd: [ OK ] 

启动 后 ， 我 们 首先 来 查看 以 下 Apache 都 启动 了 哪些 进程 ， 使 用 以 下 命令 来 查看 httpd 
进程 。 

[rootQeCentOS ~]# ps -eaf | grep httpd 

root 4724 1 2 15:22 ? 00:00:00 /usr/sbin/httpd 


apache aT27 A4124 0 15222: 9 00:00:00 /usr/sbin/httpd 
apache 4728: 4724 © 15:22:? 00:00:00 /usr/sbin/httpd 
apache 4729 4724 0 15:22 ? 00:00:00 /usr/sbin/httpd 
apache 4730 4724 0 15:22 ? 00:00:00 /usr/sbin/httpd 
apache 4731 4724 0 15:22 ? 00:00:00 /usr/sbin/httpd 
apache 4732 4724 0 15:22 ? 00:00:00 /usr/sbin/httpd 
apache 4733 4724 0 15:22 ? 00:00:00 /usr/sbin/httpd 
apache 4734 4724 0 15:22 ? 00:00:00 /usr/sbin/httpd 
root 4738 4606 0 15:22 pts/0 00:00:00 grep httpd 


可 以 看 到 ， 在 初始 状态 系统 一 共 启 动 了 9 个 httpd 进程 ， 其 中 一 个 是 以 root 身份 启动 
的 ， 其 他 进程 则 是 以 apache 用 户 的 身份 运行 ， 而 且 以 是 root 身份 运行 的 进程 的 子 进程 。 
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[ 驴 提示 : 初始 进程 数 可 以 在 配置 文件 中 设置 。 


下 面 我 们 再 查看 一 下 Apache 是 否 已 经 开始 监听 TCP 的 80 端口 ， 使 用 以 下 命令 。 


[root@Centos usz] 反 1 netstat -an | grep :80 
tcp 0 0 :::80 EE LISTEN 


可 以 看 到 ，80 端口 已 经 处 于 监听 状态 。 另 外 ， 为 了 保证 客户 端 能 够 访问 Apache 服务 
还 需要 在 防火 墙 中 开放 对 80 端口 的 限制 ， 使 用 以 下 的 命令 。 


[root@CentOs usr]# iptables -I INPUT -p tcp --dport 80 -]j ACCEPT 


执行 命令 后 ， 确 认 Web 服务 已 经 启动 后 ， 在 客户 端 使 用 的 Web 浏览 器 中 输入 Linux 


服务 器 的 亿 地 址 进行 访问 ， 如 果 出 现 Apache 的 测试 页 面 ， 则 表示 Web 服务 安装 正确 并 
且 运 行 正常 ， 如 图 8-4 所 示 。 


示 ， 


C3 


而 | 


怕 hp//92168.11133 万 * BO X|| BApache HrTp Server Test.. x 


Apache 2 Test Page 
powered by CentOS 


Tnis page ls used to iest the proper operation of me Apacne HTTP server 
aner It nas Deen installed. If you can read this page ft means that me 


Apache HTTP server installed al this site is working properly. 中 
Hfyou are a member ofthe TY you are the website | 
general public: administrator: 

The fact hatyou are sceing this You may now add content tothe 

page indicates that the websiie you directory /waz/ww/html/. Note 


just visted ls ether experiencing that untilyou do so, people visiing 
Problems oris undergoing routine 。。 your website will see this page and 


8-4 _ Apache 测试 页 面 


另外 ， 我 们 也 可 以 访问 主页 的 /manual 目录 来 查看 Apache 手册 中 的 内 容 ， 如 图 8-5 所 
其 中 包含 了 所 有 Apache 配置 命令 的 详细 解释 。 


[ensayo- acx| 


¥ Modules | Directives | FAQ | Glossary | Siemap 
[| Apache HTTP Server Version 2.2 
Apache > HTTP Server > Documentation 


| Apache HTTP Server Version 2.2 Documentation 
Available Languages- de en es i ja ko ptbr (a 


| 
| Release Notes Users Guide How-To / Tutorials 
New features with Apache | Binding Authentication. Authorization. 
21/22 Configuration Files and Access Control 
New features with Apache 。 | Configuration Sections CGL Dynamic Content 
20 Content Caching -haccess fles 
Upgrading to 22 from 20 nt Server Side Includes (ssn 
Content Negotiation 
= 一 


图 8-5 Apache 手册 主页 
至 此 ，Apache 服务 器 的 安装 已 经 完成 ， 不 过 处 于 初始 状态 的 Apache 服务 器 并 不 能 很 


好 的 应 用 于 Web 服务 ， 需 要 进行 进一步 的 配置 ， 我 们 将 在 下 面 的 内 容 中 详细 介绍 Apache 
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服务 器 的 配置 方法 。 
8.5 _ Apache 服务 器 的 基本 配置 


配置 Apache 服务 器 的 运行 参数 ， 是 通过 编辑 Apache 的 主 配置 文件 httpd.conf 来 实现 
的 。 该 文件 的 位 置 随 着 安装 方式 的 不 同 而 不 同 ， 如 果 使 用 RPM 的 方式 安装 ， 该 文件 通常 
存放 在 /etc/httpd/conf 目录 下 ; 如 果 使 用 编译 源 代 码 的 方式 安装 ， 该 文件 通常 存放 在 
Apache 安装 目录 的 conf 子 目 录 下 。 由 于 httpd.conf 是 一 个 文本 文件 ， 因 此 可 以 使 用 任何 
文本 编辑 器 (如 vi) 对 其 进行 编辑 。 

httpd.conf 配置 文件 主要 由 全 局 环境 (Global Environment)、 主 服务 器 配置 (“Main” 
Server Configuration) 和 虚拟 主机 (Virtual Hosts)3 个 部 分 组 成 。 每 部 分 都 有 相应 的 配置 语 
句 ， 该 文件 所 有 配置 语句 的 语法 为 “配置 参数 名 称 参数 值 ”的 形式 ， 配 置 语句 可 以 放 在 
文件 中 的 任何 地 方 ， 但 为 了 增强 文件 的 可 读 性 ， 最 好 将 配置 语句 放 在 相应 的 部 分 。 


8.5.1 全 局 环境 配置 


下 面 我 们 先 来 解释 一 下 配置 文件 中 有 关 全 局 的 配置 参数 。 这 些 参 数 决定 了 Apache 服 
务 器 的 总 体 性 能 。 


### Section 1: Global Environment 
# 当 服务 器 响应 主机 头 (header) 信息 时 显示 Apache 的 版 本 和 操作 系统 名 称 
ServerTokens OS 


# 设 置 服务 器 的 根 目录 

ServerRoot "/etc/httpd" 

设置 运行 httpa 进程 时 使 用 的 Pid 文件 的 路 径 和 名 称 

PidFile run/httpd.pid 

设置 TCP 连接 的 超时 时 间 ， 如 果 TCP 连接 在 此 时 间 内 没有 收 到 或 者 发 送 任 何 数据 则 断 开 连接 
Timeout 120 

# 设 置 是 否 使 用 持久 连接 ， 默 认 值 为 “off” (关闭 ) ， 建 议 用 户 将 此 选项 设置 为 “on”， 这 样 就 开 
启 了 持久 连接 ， 以 提高 服务 器 的 性 能 

KeepAlive Off 

# 在 使 用 持久 连接 时 ， 设 置 客户 端 通过 该 连接 发 送 的 最 大 请 求 消息 数 ， 如 果 设 置 为 0， 表示 没有 限制 
MaxKeepAliveRequests 100 

# 在 使 用 持久 连接 时 ， 设 置 客户 端 下 一 个 请 求 消息 超过 15 秒 还 未 到 达 ， 就 断 开 连 接 


KeepAliveTimeout 15 


# 设 置 使 用 preforkMPM 运行 方式 的 参数 ， 此 运行 方式 为 默认 方式 ， 它 规定 Apache 运行 时 ， 启 动 
多 少 个 httpd 子 进 程 来 处 理 客户 端的 请 求 


<IfModule prefork.c> # 启 动 prefork 模块 

StartServers 8 ## 设 置 起 始 httpd 子 进程 总 数 

MinSpareServers 5 # 最 小 空闲 httpd 子 进程 总 数 

MaxSpareServers 20 # 最 大 空闲 httpd 子 进程 总 数 

ServerLimit 256 # 最 大 httpd 子 进程 允许 总 数 

MaxClients 256 # 最 大 客户 端 连接 数 

MaxRequestsPerchild 4000 # 每 一 个 httpd 子 进程 处 理 了 4000 个 请 求 后 要 关闭 
</IfModule> # 模 块 定义 结束 


# 设 置 worker 参数 。 但 设置 的 是 线程 数 


<IfModule worker.c> 
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StartServers 2 # 主 控制 进程 生成 httpd 子 进程 数 

MaxClients 150 # 最 大 客户 端 连接 数 

MinspareThreads 25 # 最 小 空闲 线程 总 数 

MaxSpareThreads 琵 # 最 大 空闲 线程 总 数 

ThreadsPerChild 25 # 每 一 个 子 进程 可 产生 的 线程 数 
MaxRequestsPerChild 0 # 每 一 个 子 进程 可 处 理 的 最 大 请 求 数 ，0 表示 无 限制 
</IfModule> 


# 设 置 服务 器 的 监听 端口 可 以 使 用 “IP+ 端 口 ”的 形式 规定 监听 哪 一 个 本 地 接口 的 端口 


Listen 80 

# 加 载 的 动态 模块 (DSO) ， 默 认 加 载 了 很 多 模块 ， 在 此 不 一 一 列 出 
LoadModule auth basic module modules/mod auth basic.so 
LoadModule auth digest module modules/mod auth digest.so 
LoadModule authn file module modules/mod authn file.so 


# 读 取 conf .a 目录 中 的 所 有 conf 文件 ， 这 个 目录 中 包含 了 许多 专用 功能 的 配置 ， 如 PHP、SSL 
等 的 配置 文件 
Include conf.d/*.conf 


# 此 选项 需要 在 mod_status 模块 加 载 时 才 有 效 ， 表 示 服 务 器 是 否 为 每 一 个 请 求 保持 扩展 状态 的 轨迹 
#Extendedstatus On 

# 指 定 运行 httpd 子 进 程 的 用 户 和 用 户 组 

User apache 

Group apache 


去 提示 : 在 默认 的 httpd.conf 文件 中 ， 每 个 配置 语句 和 参数 都 有 详细 的 英文 解释 ， 由 
于 篇 幅 所 限 ， 此 处 省 略 了 这 些 解释 。 建 议 初学 者 在 不 熟悉 配置 方法 的 情况 
下 ， 先 使 用 Apache 默认 的 httpd.conf 文件 作为 模板 进行 修改 设置 ， 并 且 在 修 
改 之 前 先 做 好 备份 ， 以 便 做 了 错误 的 修改 后 能 够 还 原 。 


8.5.2 主 服务 器 配置 


Apache 在 处 理 客户 端的 请 求 时 ， 会 根据 URL 来 判断 客户 端 是 在 访问 主 服务 器 还 是 在 
访问 虚拟 主机 。 所 谓 主 服务 器 一 般 是 指 在 一 个 服务 器 中 提供 的 唯一 的 Web 服务 。 下 面 是 
Apache 配置 文件 中 有 关 主 服务 器 的 配置 命令 ， 这 些 选 项 决定 了 主 服务 器 的 工作 状态 ， 同 
时 ， 也 可 以 作为 虚拟 主机 的 默认 配置 ， 如 果 在 虚拟 主机 中 没有 设置 这 些 参数 ， 那 么 虚拟 主 
机 会 读 取 主 服务 器 的 参数 作为 虚拟 主机 的 参数 。 


### Section 2: 'Main' server configuration 

# 管 理 员 的 联系 方式 ， 会 出 现在 一 些 错 误 页 面 中 

ServerAdmin root@localhost 

# 当 Apache 服务 器 引用 自己 的 URL 时， 使 用 此 指定 的 域名 及 端口 号 。 与 UseCanonicalName 选 
项 配合 使 用 


#ServerName www.example.com:80 
# 是 否 使 用 客户 端 提供 的 主机 名 及 端口 号 ， 如 果 值 为 “on”， 意 味 着 使 用 ServerName 提供 的 域名 
和 端口 号 


UseCanonicalName Off 


# 设 置 主 服务 器 的 跟 文 档 路 径 


DocumentRoot "/var/www/html™" 


# 设 置 根 目录 的 访问 控制 权限 
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<Directory /> 


Options FollowSymLinks # 人 允许 符号 链接 跟踪 ， 访 问 不 在 本 目录 下 的 文件 
AllowOverride None # 不 允许 使 用 目录 中 .htaccess 文件 的 配置 内 容 ， 
即 不 被 它 覆盖 ， .htaccess 文件 名 称 在 AccessFileName 选项 中 设置 
</Directory> 


# 设 置 主 服 务 器 主 目录 的 访问 控制 权限 ， 目 录 位 置 由 DocumentRoot 选项 的 内 容 设 置 
<Directory "/var/www/html"> 
Options Indexes FollowSymLinks 
#Indexes 表示 当 在 目录 中 找 不 到 指定 的 文件 时 ， 就 生成 当前 目录 的 文件 列表 
# FollowSymLinks 表示 允许 符号 链接 跟踪 ， 访 问 不 在 本 目录 下 的 文件 
AllowOverride None 
# 不 允许 使 用 目录 中 .htaccess 文件 的 配置 内 容 ， 即 不 被 它 覆 盖 
Order allow,deny 
# 访 问 规则 先 执 行 允许 (al1ow) 操作 ， 再 执行 拒绝 (deny) 操作 
Allow from al1 # 设 置 Allow 访问 规则 ， 人 允许 所 有 连接 
</Directory> 


# 不 允许 用 户 的 个 人 服务 器 
<IfModule mod userdir.c> 
UserDir disable 
</IfModule> 
# 指 定 主 服务 器 主页 文件 的 名 称 列表 ， 当 客户 端 访 问 主 服务 器 时 ， 将 依次 查找 列表 中 的 各 个 文件 
DirectoryIndex index.html index.html .var 
# 指 定 .htaccess 配置 文件 的 名 称 ， 这 个 文件 是 对 本 目录 访问 权限 进行 设置 的 文件 。 


AccessFileName .htaccess 


# 拒 绝 客户 端 访问 以 .ht 开头 的 文件 ， 即 保护 访问 权限 文件 
KELlas » 全 AN 有 > 

Order allow,deny 

Deny from all 
</Files> 


# 指 定 负责 处 理 MIME 文件 配置 文件 的 存储 位 置 
TypesConfig /etc/mime.types 


# 指 定 默认 的 MIME 文件 类 型 为 纯 文本 (或 者 HTML 文件 ) 
DefaultType text/plain 


# 当 mod_mime magic.c 模块 被 加 载 时 ， 指 定 Magic 信息 配置 文件 的 存放 位 置 
<IfModule mod mime magic.c> 
# MIMEMagicFile /usr/share/magic.mime 
MIMEMagicFile conf/magic 
</IfModule> 


# 日 志 中 只 记录 连接 Apache 服务 器 的 客户 端 IP 地 址 ， 不 记录 主机 名 


HostnameLookups Off 


# 分 发 文件 时 是 否 启用 内 存 映射 功能 ， 对 于 大 内 存 的 服务 器 来 说 ， 建 议 启用 
#EnableMMAP off 


# 分 发 文件 时 是 否 启动 Sendfile 内 核 支持 。 默 认为 启动 状态 ， 如 果 使 用 NFS 文件 系统 需要 禁用 此 选项 。 
#EnableSendfile off 


# 设 置 错 误 日 志 的 保存 位 置 
ErrorLog logs/error log 


指定 记录 错误 记录 的 内 容 级 别 


LogLevel warn 


# 定 义 日 志 的 记录 格式 
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LogFormat "%h %] Su %t \"%r\" %>s $b \"%${Referer}i\" \"%{User-Agent}i\"" 
combined 

LogFormat "sh %]1 Su %t \"%r\" %$>s $b" common 

LogFormat "%{Referer}i -> %U" referer 

LogFormat "%{User-agent}i" agent 


# 指 定 访问 日 志 的 位 置 以 及 日 志 的 格式 为 common 


#CustomLog logs/access lo0g common 


# 设 置 是 否 启 用 referer 日 志和 agent 日 志 
#CustomLog logs/ referer log referer 
#CustomLog logs/agent log agent 


# 指 定 访问 日 志 的 位 置 以 及 日 志 的 格式 为 combined 
CustomLog logs/access lo0g combined 

# 在 Apache 生成 的 页 面 中 使 用 Apache 签名 
ServerSignature On 

# 设 置 /var/www/icons/ 目 录 的 虚拟 目录 


Alias /icons/ "/var/www/icons/" 


# 设 置 /var/www/icons/ 目 录 的 访问 权限 
<Directory "/var/www/icons"> 
Options Indexes MultiViews # MultiViews 指使 用 内 容 协商 功能 决定 被 发 送 网 
页 的 性 质 
AllowOverride None 
Order allow,deny 
Allow from all 
</Directory> 


# 配 置 WebDAV 模块 ，WebDAV (Web-based Distributed Authoring and Versioning) 是 
基于 HTTP/1.1 的 一 个 通信 协议 ， 它 为 HTTP/1.1 提供 了 若干 扩展 功能 ， 使 得 应 用 程序 可 以 直接 
将 文件 写 入 Web 服务 器 中 ， 并 且 具 有 在 写 文件 时 可 以 对 文件 进行 加 锁 ， 写 完 文件 后 再 解锁 的 功能 ， 
还 可 以 支持 对 文件 的 版 本 控制 。 这 个 模块 极 大 地 增加 了 web 作为 一 种 创作 媒体 的 价值 。 基 于 WebDAV 
可 以 实现 一 些 功能 强大 的 内 容 管理 系统 或 者 配置 管理 系统 
<IfModule mod dav fs.c> 

# Location of the WebDAV lock database. 


DAVLOCKDB /var/lib/dav/lockdb # 指 定 DAV 加 锁 数据 库 文件 的 位 置 
</IfModule> 


# 设 置 脚本 目录 CGI 的 访问 别名 


ScriptAlias /cgi-bin/ "/var/www/cgi-bin/" 


# 设 置 CGI 目录 的 访问 权限 
<Directory "/var/www/cgi-bin"> 

AllowOverride None 

Options None 

Order allow,deny 

Allow from all 
</Directory> 


# 重 定向 链接 


# Redirect permanent /foo http://www.example.com/bar 


# 设 置 自动 生成 目录 列表 的 显示 方式 

# FancyIndexing: 对 每 种 类 型 的 文件 加 上 一 个 小 图 标 以 示 区 别 

# VersionSort: 对 同一 个 软件 的 多 个 版 本 进行 排序 

# HTMLTable: 与 FancyIndexing 一 起 使 用 ， 构 建 一 个 简单 的 HTML 表格 
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IndexOptions FancyIndexing VersionSort NameWidth=* HTMLTable 


# 当 配置 了 IndexOptions FancyIndexing 之 后 ， 配 置 下 面 的 选项 ， 用 来 告知 服务 器 在 遇 到 不 
同 的 文件 类 型 或 者 扩展 名 时 该 采用 的 MIME 编码 格式 识别 文件 类 型 并 显示 相应 的 图 标 
AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip 
AddIconByType (TXT,/icons/text.gif) text/* 

AddIconByType (IMG, /icons/image2.gif) image/* 

AddIconByType (SND,/icons/sound2.gif) audio/* 

AddIconByType (VID,/icons/movie.gif) video/* 


# 当 配置 了 Indexoptions FancyIndexing 之 后 ， 配 置 下 面 的 选项 ， 用 来 告知 服务 器 在 遇 到 不 
同 的 文件 类 型 或 者 扩展 名 时 该 采用 的 格式 并 显示 相应 的 图 标 ， 此 处 有 众多 的 类 型 识别 信息 ， 在 此 省 
略 了 大 部 分 

RddIcon /icons/binary.gif .bin .exe 

RddIcon /icons/binhex.gif .hqx 

RddIcon /icons/tar.gif .tar 


# 碰 到 无 法 识别 的 文件 时 显示 此 处 定义 的 图 标 


DefaultIcon /icons/unknown.gif 


# 为 某 些 类 型 的 文件 加 入 解释 文本 

#AddDescription "GZIP compressed document" .gz 

#AddDescription "tar archive" .tar 

#AddDescription "GZIP compressed tar archive" .tgz 

# 当 服务 器 自动 列 出 目录 列表 时 ， 在 所 有 生成 的 页 面 后 附加 README .html 中 的 内 容 ， 在 页 面 的 前 
面 附加 HEADER.html 的 内 容 

ReadmeName README .html 

HeaderName HEADER.html 


# 当 服务 器 自动 列 出 目录 列表 时 ， 下 面 的 这 些 文件 不 会 列 出 
IndexIgnore .?2* *~ *# HEADER* README* RCS CVS *,v *,t 


# 设 置 网 页 内 容 的 语言 种 类 () 需要 浏览 器 启用 内 容 协商 
# DefaultLanguage nl # 设 置 一 种 默认 语言 ， 没 有 指定 语言 的 页 面 采用 该 语言 


# 加 入 对 各 种 语言 的 支持 ， 由 于 往往 加 入 的 语言 种 类 过 多 ， 这 里 不 一 一 列举 
AddLanguage ca .ca 

AddLanguage cs .cz .cs 

AddLanguage da .dk 


# 当 启用 内 容 协商 时 ， 设 置 语言 的 先后 顺序 

LanguagePriority en ca cs da de el eo es et fr he hr it ja ko ltz nl nn 
no pl pt pt-BR ru sv zh-CN zh-TW 

# 当 有 多 种 语言 匹配 时 ， 使 用 LanguagePriority 列表 的 第 一 个 匹配 ， 当 没有 语言 可 匹配 时 ， 使 
用 LanguagePriority 列表 的 第 一 项 


ForceLanguagePriority Prefer Fallback 


## 设 置 默认 字符 集 为 UTF-8 
AddDefaultCharset UTF-8 


# 添 加 新 的 MIME 类 型 ， 会 覆盖 掉 /etc/mime .types 中 的 设 定 
#AddType application/x-tar .tgz 

AddType application/x-compress .2Z 

AddType application/x-gzip .gz .tgz 
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# 添 加 支持 的 压缩 编码 格式 
#AddEncoding x-compress .2Z 
#AddEncoding x-gzip .gz .tgz 


# 设 定 对 特定 扩展 名 文件 的 处 理 方式 
#AddHandler cgi-script .cgi # 将 “.cgi” 扩 展 名 的 文件 当做 脚本 处 理 (需要 其 他 选 
项 的 支持 ) 


#AddHandler send-as-is asis 
AddHandler type-map var 


# 设 定 . shtml 文件 的 类 型 为 text/html 
AddType text/html .shtml 


# 服 务 器 处 理 响 应 时 ， 将 .shtml 文件 映射 到 过 滤器 INCLUDES 中 
AddoutputFilter INCLUDES .shtml 


# 指 定 错 误 响 应 代码 的 解释 文本 
#ErrorDocument 500 "The server made a boo boo."  ” 提 以 普通 文本 为 内 容 
#ErrorDocument 404 /missing.html # 以 网 页 为 内 容 


#ErrorDocument 404 "/cgi-bin/missing handler.p1"  # 以 脚本 的 执行 结果 作为 内 容 
#ErrorDocument 402 http://www.example.com/subscription info.html 


# 重 定向 到 其 他 URL 
# 设 置 错 误 页 面目 录 的 虚拟 目录 


Alias /error/ "/var/www/error/" 


# 加 载 了 mod_negotiation 和 mod_include 模块 的 设置 
<IfModule mod negotiation.c> 
<IfModule mod include.c> 
<Directory "/var/www/error"> # 设 置 /var/www/error 目录 的 访问 权限 
AllowOverride None 
Options IncludesNoExec 
AddoutputFilter Includes html 
AddHandler type-map var 
Order allow,deny 
Allow from all 
LanguagePriority en es de fr 
ForceLanguagePriority Prefer Fallback 
</Directory> 


# 设 定 发 生 对 应 错误 代码 的 显示 内 容 ， 错 误 代码 众多 ， 在 此 不 一 一 列举 

# ErrorDocument 400 /error/HTTP_ BAD REQUEST.html .Var 
# ErrorDocument 401 /error/HTTP_ UNAUTHORIZED.html .Var 
# ErrorDocument 403 /error/HTTP FORBIDDEN.html.var 
</IfModule> 

</IfModule> 


# 对 于 特定 的 浏览 器 给 予 特 定 的 响应 

BrowserMatch "Mozilla/2" nokeepalive 

BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0 
BrowserMatch "RealPlayer 4\.0" force-response-1.0 

BrowserMatch "Java/l\.0" force-response-1.0 

BrowserMatch "JDK/1\.0" force-response-1.0 


# 解 决 某 些 浏览 器 BUG 引起 的 问题 
BrowserMatch "Microsoft Data Access Internet Publishing Provider" 
redirect-carefully 
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BrowserMatch "MS FrontPage" redirect-carefully 
BrowserMatch "^WebDrive" redirect-carefully 

BrowserMatch "^WebDAVFS/1.[0123]" redirect-carefully 
BrowserMatch "^gnome-vfs/1.0" redirect-carefully 
BrowserMatch "^XML Spy" redirect-carefully 

BrowserMatch "^Dreamweaver-WebDAV-SCM1" redirect-carefully 


# 人 允许 由 mod_status 模块 产生 状态 报告 
#<Location /server-status> 

# SetHandler server-status 

# Order deny,allow 

3# Deny from all 

# Allow from .example.com 
#</Location> 


#moqd_info 加 载 时， 设置 远 程 服务 器 配置 报告 功能 
#<Location /server-info> 

# SetHandler server-info 

# Order deny,allow 

# Deny from all 

# Allow from .example.com 
#</Location> 


# 启 动 代理 服务 器 功能 

#<IfModule mod proxy.c> 
#ProxyRequests On 

# 

#<Proxy *> 

# Order deny,allow 

# Deny from all 

# Allow from .example.com 
#</Proxy> 


# 开 启 代理 服务 器 处 理 :Via 头 域 的 功能 
#ProxyVia On 


# 设 置 代理 服务 器 启动 cache 功能 
#<IfModule mod disk cache.c> 

# CacheEnable disk / 

# CacheRoot "/var/cache/mod proxy" 
#</IfModule> 

# 

#</IfModule> 

# End of proxy directives. 


[名 提示 : ”关于 配置 文件 httpd.conf 中 的 第 三 部 分 “虚拟 主机 ”的 配置 ， 由 于 涉及 的 知 
识 较 多 ， 会 在 下 面 单独 拿 出 一 节 来 介绍 。 


8.6 虚拟 主机 的 配置 


虚拟 主机 的 出 现 源 于 网 站 的 迅猛 发 展 ， 在 “每 站 一 机 ”的 传统 方式 已 经 不 能 满足 需求 
时 ， 虚 拟 主机 技术 就 应 运 而 生 了 。 
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8.6.1 虚拟 主机 的 概述 


虚拟 主机 是 指 在 一 台 服务 器 运行 多 个 网 站 ， 以 实现 对 客户 端的 透明 性 。 利 用 虚拟 主机 
技术 ， 可 以 把 一 台 真 正 的 主机 分 成 许多 “虚拟 ”的 主机 ， 从 而 实现 多 用 户 对 硬件 资源 、 网 
络 资源 共享 ， 大 幅度 降低 了 用 户 的 建站 成 本 。 每 一 台 虚 拟 主机 都 具有 完整 的 Web 服务 器 
功能 。 虚 拟 主机 各 用 户 之 间 也 是 完全 独立 的 ， 从 外 界 来 看 ， 虚 拟 主机 和 独立 主机 的 表现 是 
完全 一 样 的 。 目 前 许多 企业 建立 网 站 都 采用 租用 ISP 虚拟 主机 的 方法 ， 这 是 因为 虚拟 主机 
具有 以 下 优点 。 


1. 节约 投资 


利用 "虚拟 主机 "技术 ， 可 以 使 用 户 节省 大 量 不 必要 的 开支 ， 包 括 购置 服务 器 、 租 用 专 
线 及 其 他 硬件 设备 和 安排 专业 系统 管理 人 员 等 多 方面 的 费用 。 


2. 节约 维护 费用 


通过 使 用 “虚拟 主机 ”， 可 以 节约 维护 费用 ， 一 条 128K 专线 在 国内 最 基本 的 费用 为 
每 月 上 千 元 ， 同 时 因为 国内 许多 地 区 采用 双向 计 费 的 方式 ， 网 站 的 访问 量 越 高 ， 用 户 所 要 
支付 的 费用 就 越 多 ， 而 虚拟 服务 器 的 价格 一 年 一 般 仅 为 数 百 元 。 


3. 可 以 获得 专业 的 维护 而 无 需 维护 人 员 与 昂贵 的 电源 系统 


专业 的 网 络 系统 供应 商 往往 花费 大 量 的 投资 用 于 建设 后 备 电源 系统 以 应 付 电力 故障 ， 
并 且 拥 有 一 批 专业 的 维护 人 员 ， 这 些 资 源 对 于 普通 的 企业 来 说 是 不 必要 的 支出 。 


4. 拥有 更 加 稳定 的 性 能 


普通 的 企业 级 网 站 往往 只 通过 某 一 家 ISP 接 入 ， 如 果 这 家 供应 商 有 故障 ， 则 用 户 必 将 
受到 影响 。 而 采取 租用 "虚拟 主机 "的 方案 往往 可 以 借助 服务 商 的 多 路 由 获得 稳定 的 性 能 ， 
因为 大 多 数 的 虚拟 主机 服务 商 所 依赖 的 主干 网 一 般 不 止 一 条 ， 可 以 保证 系统 不 受 某 一 家 供 
应 商 的 影响 。 

虚拟 主机 的 实现 方式 有 两 种 : 基于 卫 的 虚拟 主机 和 基于 域名 的 虚拟 主机 。Apache 是 
率先 支持 基于 卫 的 虚拟 主机 的 服务 器 之 一 ， 自 1.3 版 本 后 ，Apache 对 两 种 虚拟 主机 都 提 
供 了 支持 。 


8.6.2 ”基于 IP 的 虚拟 主机 


在 基于 人 P 的 虚拟 主机 中 ， 每 个 网 络 接口 的 卫 地 址 对 应 着 一 台 虚 拟 主机 ， 此 时 ， 需 要 
为 每 一 台 虚 拟 主机 分 配 一 个 独立 的 人 P 地 址 。 基 于 人 P 地 址 的 虚拟 主机 在 服务 器 里 绑 定 多 个 
JP， 然 后 配置 Apache， 把 多 个 网 站 绑 定 在 不 同 的 全 上 ， 访 问 服 务 器 上 不 同 的 他， 就 看 到 
不 同 的 网 站 。 

例如 ， 假 设 服务 器 分 配 了 192.168.1.101 和 192.168.1.102 两 个 人 P 地 址 ， 现 需 使 用 这 两 
个 人 P 地 址 分 别 创建 两 台 虚 拟 主机 ， 每 台 虚 拟 主机 都 对 应 不 同 的 主 目录 ， 我 们 需要 在 主 配 
置 文件 httpd.conf 中 添加 以 下 语句 实现 。 
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<VirtualHost 192.168.1.101> # 配 置 虚拟 主机 使 用 的 IP 地 址 
ServerName 192.168.1.101:80 
ServerAdmin webl@test.edu 


DocumentRoot "“/usr/www/webl™" # 虚 拟 主机 根 目录 
DirectoryIndex index.html 

ErrorLog logs/webl/error log # 虚 拟 主机 日 志保 存 位 置 
CustomLog logs/webl/access_1og combined # 设 置 日 志 类 型 
</VirtualHost> 


<VirtualHost 192.168.1.102> 

ServerName 192.168.1.102:80 

ServerAdmin web2@test.edu 

DocumentRoot "“/usr/www/web2" 
DirectoryIndex default.html 

ErrorLog logs/web2/error log 

CustomLog logs/web2/access lo0g combined 
</VirtualHost> 


创建 虚拟 主机 需要 在 Apache 的 主 配置 文件 httpd.conf 中 使 用 <VirtualHost> 和 
</VirtualHost> 这 对 语句 进行 设置 ， 这 对 语句 必须 成 对 出 现 ， 它 们 之 间 封 装 了 设置 虚拟 主机 
属性 的 选项 。 虚 拟 主机 与 配置 独立 的 Web 服务 器 类 似 ， 因 此 大 部 分 的 配置 选项 都 能 用 在 
<VirtualHost> 和 </VirtualHost> 语 句 之 间 。 

上 例 中 的 语句 <VirtualHost 虚拟 主机 的 IP> 是 指明 这 台 虚 拟 主 机 使 用 哪个 卫 地 址 。 
如 果 虚 拟 主机 需要 独立 的 日 志文 件 ， 应 保证 日 志文 件 的 路 径 存在 ， 否 则 Apache 将 不 能 
启动 。 


8.6.3 ”基于 域名 的 虚拟 主机 


基于 域名 的 虚拟 主机 只 需 服务 器 有 一 个 IP 地 址 即 可 创建 多 台 虚 拟 主机 ， 所 有 的 虚拟 
主机 共享 同一 个 人 P 地 址 ， 各 虚拟 主机 之 间 通 过 域名 进行 区 分 。 因 为 HTTP 协议 访问 请 求 
里 包含 域名 信息 ， 所 以 当 Web 服务 器 收 到 访问 请 求 时 ， 就 可 以 根据 不 同 的 域名 来 访问 不 
同 的 网 站 。 它 的 优势 就 是 不 需要 更 多 的 全 地 址 ， 容 易 配 置 。 

要 建立 基于 域名 的 虚拟 主机 ， 首 先 要 更 改 DNS 服务 器 的 配置 ， 在 DNS 服务 器 中 建立 
多 个 此 服务 器 地 址 的 资源 记录 ， 使 它们 解析 到 相同 IP 地 址 。 例 如 : 


wwwl.test.edu. IN A 192.168.1.101 
www2.test.edu. IN A 192.168.1.101 


然后 ， 还 需要 使 用 这 两 个 域名 分 别 创建 两 台 虚 拟 主机 ， 每 台 虚拟 主机 都 对 应 不 同 的 主 
目录 ， 在 主 配置 文件 httpd.conf 中 添加 以 下 语句 实现 : 


NameVirtualHost 192.168.1.101 
<VirtualHost wwwl.test.edu > 
ServerName wwwl.test.edu:80 
ServerAdmin web@test.edu 
DocumentRoot "/usr/www/webl™" 
DirectoryIndex index.html 
ErrorLog logs/webl/error 1og 
CustomLog logs/webl/access log combined 
</VirtualHost> 

<VirtualHost www2.test.edu > 
ServerName www2.test.edu:80 
ServerAdmin web@test.edu 
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DocumentRoot "/usr/www/web2" 
DirectoryIndex default .html 

ErrorLog logs/web2/error 1og 

CustomLog logs/web2/access log combined 
</VirtualHost> 


创建 基于 域名 的 虚拟 主机 时 ， 必 须 先 用 NameVirtualHost 指令 指定 哪个 人 P 地 址 负责 响 

应 对 虚拟 主机 的 请 求 ， 然 后 <VirtualHost 虚拟 主机 的 域名 > 来 指明 这 台 虚 拟 主机 使 用 哪个 

域名 。 

[时 提示 : 没有 必要 为 每 个 虚拟 主机 指定 所 有 的 配置 语句 ， 因 为 虚拟 主机 中 没有 指定 的 
配置 语句 将 使 用 主 服务 器 主 配 置 文 档 中 的 配置 。 


8.7 ”Web 发 布 及 访问 控制 


在 前 面 的 内 容 中 ， 我 们 已 经 对 Apache 的 架设 和 基本 配置 做 了 详细 的 介绍 ， 但 仅仅 使 
用 以 上 的 功能 还 不 能 很 好 地 满足 Web 服务 器 的 要 求 ， 在 本 节 的 内 容 中 ， 我 们 将 对 虚拟 目 
录 的 使 用 以 及 用 户 访问 权限 的 控制 做 详细 的 介绍 。 


8.7.1 创建 虚拟 目录 


要 从 主 目录 以 外 的 其 他 目录 中 进行 发 布 ， 就 必须 创建 虚拟 目录 。 虚 拟 目 录 是 一 个 位 于 
Apache 的 主 目录 外 的 目录 ， 它 不 包含 在 Apache 的 主 目录 中 ， 但 在 访问 Web 站 点 的 用 户 
看 来 ， 它 与 位 于 主 目录 中 的 子 目录 是 一 样 的 。 每 个 虚拟 目录 都 有 一 个 别名 ， 用 户 Web 浏 
览 器 中 可 以 通过 此 别名 来 访问 虚拟 目录 ， 例 如 http:// 服 务 器 人 P 地 址 /别名 /文件 名 ， 就 可 以 
访问 虚拟 目录 下 面 的 任何 文件 了 。 使 用 虚拟 目录 有 以 下 优点 。 

1. 便于 访问 

由 于 虚拟 目录 名 (别名 ) 通 常 要 比 真实 目录 的 路 径 名 短 ， 因 此 使 用 虚拟 目录 名 (别名 ) 访 
问 简 短 、 方 便 。 

2. 便于 移动 站 点 中 的 目录 

只 要 虚拟 目录 名 (别名 ) 不 变 ， 即 使 更 改 了 虚拟 目录 的 实际 存放 位 置 ， 无 需 更 改 目录 的 
URL， 也 不 会 影响 用 户 的 访问 。 

3. 能 灵活 加 大 磁盘 空间 


虚拟 目录 能 够 提供 的 磁盘 空间 几乎 是 无 限 的 。 适 合 于 提供 对 磁盘 空间 要 求 加 大 的 
VOD 服务 、 个 人 主页 服务 或 其 他 Web 服务 。 


4. 安全 性 好 


由 于 每 个 虚拟 目录 都 可 以 分 别 设置 不 同 的 访问 权限 ， 因 此 非常 适合 于 不 同 用 户 对 不 同 
目录 拥有 不 同 权限 的 情况 。 此 外 ， 虚 拟 目 录 名 (别名 ) 通 常 只 有 该 用 户 知道 ， 其 他 不 知道 虚 
拟 目 录 名 的 用 户 无 法 访问 。 黑 客 也 不 知道 虚拟 目录 的 实际 存放 位 置 ， 难 以 进行 破坏 。 
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使 用 Alias 选项 可 以 创建 虚拟 目录 。 在 主 配置 文件 中 ，Apache 默认 已 经 创建 了 两 个 虚 
拟 目录 。 这 两 条 语句 分 别 建立 了 “/icons/” 和 “/manual” 两 个 虚拟 目录 ， 它 们 对 应 的 物理 
路 径 分 别 是 “/var/www/icons/” 和 “/var/www/error/”。 


Alias /icons/ "/var/www/icons/" 
Alias /error/ "/var/www/error/" 


例如 ， 我 们 要 创建 名 为 /down 的 虚拟 目录 ， 它 对 应 的 物理 路 径 是 
“/software/download”， 可 以 使 用 以 下 的 命令 : 


Alias /down "/software /download" 


8.7.2 ”目录 权限 配置 


目录 权限 配置 是 指 对 文件 系统 图 中 的 目录 进行 权限 设置 ， 指 定 哪些 客户 端 可 以 访问 该 
目录 。 对 于 可 以 访问 的 客户 端 ， 还 能 够 指定 客户 端 在 该 目录 中 可 以 进行 的 操作 ， 例 如 列 出 
目录 内 容 、 执 行 等 。 在 Apache 中 配置 目录 访问 控制 有 两 种 方法 : 既 可 以 在 主 配置 文件 
httpd.conf 中 配置 目录 访问 控制 选项 ， 而 针对 每 一 个 目录 的 访问 控制 ， 用 户 还 可 以 在 相应 
的 目录 中 创建 “.htacess” 的 文件 ， 此 文件 同样 可 以 作为 目录 访问 控制 的 配置 信息 。 


1. 通过 httpd.conf 配置 目录 访问 控制 


我 们 可 以 在 httpd.conf 配置 文件 中 使 用 <Directory 目录 路 径 > 和 </Directory> 这 对 语句 
为 主 目录 或 虚拟 目录 设置 权限 ， 它 们 是 一 对 容器 语句 ， 必 须 成 对 出 现 ， 它 们 之 间 封 装 的 是 
具体 的 设置 目录 权限 选项 ， 这 些 选项 仅 对 被 设置 目录 及 其 子 目录 起 作用 。 下 面 是 主 配置 文 
件 中 设置 目录 权限 的 例子 。 


<Directory "/var/www/icons"> 
Options Indexes MultiViews 
AllowOverride None 


Order allow, deny 
Allow from all 
</Directory> 


从 上 面 的 例子 我 们 可 以 看 出 ， 配 置 目录 访问 控制 选项 的 格式 如 下 : 


<Directory 目录 路 径 > 
[访问 控制 选项 ] 


</Directory> 

其 中 ,访问 控制 选项 主要 有 以 下 几 类 : 

e@ 授权 访问 选项 (AuthConfig): 包括 AuthDBMGroupFile 、AuthDBMUserFile 、 
AuthGroupFile、AuthName、AuthType、AuthUserFile 和 Require 等 。 

e@ 文件 控制 类 选项 (FileInfo): 包括 AddLanguage 、AddType 、DefaultType 、 
ErrorDocument、LanguagePriority、AddHander 和 AddOutputFilter 等 。 

@ 目录 显示 方式 类 选项 (Indexes): 包括 AddDescription 、 AddIcon 、 
AddIconByEncoding、AddIconByType、DefaultIcon、FancyIndexing、HeaderName、 
IndexIgnore、IndexOptions 和 ReadmeName 等 。 
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@ 客户 端 访问 控制 类 选项 (Limib: 包括 Allow、Deny 和 Order 等 。 
@ ”目录 访问 控制 类 选项 (Options): 包括 Options 和 XbitHack 等 。 


[名 提示 :， 由 于 控制 目录 访问 的 选项 较 多 ， 篇 幅 所 限 ， 在 这 里 不 对 这 些 选 项 进行 一 一 的 
解释 ， 有 兴趣 的 读者 可 以 参考 Apache 的 manual 来 学 习 这 些 选 项 的 具体 含义 
和 使 用 方法 。 


其 中 ，Options 选项 用 于 定义 目录 使 用 哪些 特性 ， 包 括 Indexes、MultiViews 和 
ExecCGI 等 ， 是 应 用 非常 广泛 的 选项 ， 它 可 以 使 用 的 选项 及 功能 如 下 : 
@ All: All 包含 了 除 MultiViews 之 外 的 所 有 特性 ， 如 果 没 有 Options 语句 ， 默 认为 
All。 
None: 禁止 所 有 功能 。 
MultiViews: 人 允许 内 容 协商 的 多 重视 图 。 
Indexes: 表示 如 果 该 目录 下 无 index 文件 ， 那 么 允许 显示 该 目录 下 的 文件 列表 。 
IncludesNoExec: 允许 服务 器 端 包 含 功能 ， 但 禁用 执行 CGI 脚本 。 
Includes: 允许 目录 浏览 。 
FollowSymLink: 可 以 在 该 目录 中 使 用 符号 连接 。 
SymLinksIfOwnerMatch: 在 该 目录 中 仅仅 跟踪 本 站 点 内 的 链接 。 
ExecCGI: 允许 在 该 目录 下 执行 CGI 脚本 。 


[对 提示 : ”MultiViews 是 Apache 的 一 个 智能 特性 。 当 客户 访问 目录 中 一 个 不 存在 的 对 
象 时 ， 如 访问 “http:/192.168.16.177/icons/a” ， 则 Apache 会 查找 这 个 目录 
下 所 有 a.* 文 件 。 由 于 icons 目录 下 存在 a.gif 文件 ， 因 此 Apache 会 将 a.gif 
文件 返回 给 客户 ， 而 不 是 返回 出 错 信息 。 


2. 使 用 .htaccess 文件 设置 目录 访问 权限 


每 一 个 目录 中 都 可 以 包含 一 个 .htaccess 文件 ，Apache 服务 器 可 以 读 取 该 文件 的 内 容 作 
为 目录 访问 控制 的 配置 ， 使 用 AllowOverride 可 以 指定 哪些 选项 可 以 被 .htaccess 文件 的 内 
容 覆 盖 。 如 果 设 置 为 None， 那 么 服务 器 将 忽略 .htaccess 文件 ， 如 果 设 置 为 All， 那 么 所 有 
在 .htaccess 文件 中 的 选项 都 会 被 采用 ， 并 且 将 覆盖 主 配 置 文件 中 的 相应 配置 。 


3. 客户 端 访问 控制 指令 


客户 端 访问 控制 类 指令 也 是 使 用 非常 广泛 的 一 类 指令 。 前 面 我 们 讲 到 ， 客 户 端 访问 控 
制 类 指令 一 共有 三 个 : 

e@ ”Order: 用 于 指定 执行 多 许 和 拒绝 访问 规则 的 先后 顺序 。 

e@ Deny: 拒绝 访问 控制 列表 。 

e@ Allow: 允许 访问 控制 列表 。 

其 中 ，Order 选项 用 于 定义 缺 省 的 访问 权限 与 Allow 和 Deny 语句 的 处 理 顺 序 。Allow 
和 Deny 语句 可 以 针对 客户 机 的 域名 或 P 地 址 进行 设置 ， 以 决定 哪些 客户 机 能 够 访问 服务 
器 。Order 语句 通常 设置 为 以 下 两 种 值 之 一 。 

@ ”allow, deny: 缺 省 禁止 所 有 客户 机 的 访问 ， 且 Allow 语句 在 Deny 语句 之 前 被 匹 
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配 。 如 果 某 条 件 既 匹配 Deny 语句 又 匹配 Allow 语句 ， 则 Deny 语句 会 起 作用 ( 因 
为 Deny 语句 覆盖 了 Allow 语句 )。 

@ ”deny, allow: 缺 省 允许 所 有 客户 机 的 访问 ， 且 Deny 语句 在 Allow 语句 之 前 被 匹 
配 。 如 果菜 条 件 既 匹配 Deny 语句 又 匹配 Allow 语句 ， 则 Allow 语句 会 起 作用 ( 因 
为 Allow 语句 覆盖 了 Deny 语句 )。 

下 面 的 例子 很 好 地 解释 了 Order 顺序 的 不 同 所 造成 的 规则 执行 结果 的 不 同 。 

# 仅 允许 来 自 网 络 192 .168 .16.0/24 客户 机 的 访问 


Order allow, deny 
Allow from 192.168.16.0/24 


# 这 两 条 语句 是 允许 所 有 客户 机 的 访问 
Order deny ， allow 
Allow from 192.168.16.0/24 


8.7.3 用 户 认证 


用 户 认 证 是 指 用 户 通过 浏览 器 访问 某 些 受 到 保护 的 资源 时 ， 需 要 提供 正确 的 用 户 名 和 
密码 才能 访问 。 用 户 认证 在 网 络 安全 中 是 非常 重要 的 技术 之 一 ， 它 是 保护 网 络 系统 资源 的 
第 一 道 防线 。 用 户 认证 控制 着 所 有 登录 并 检查 访问 用 户 的 合法 性 ， 其 目标 是 仅 让 合法 用 户 
以 合法 的 权限 访问 网 络 系统 的 资源 。 当 用 户 第 一 次 访问 了 启用 用 户 认 证 目录 下 的 任何 文 
件 ， 浏 览 器 会 显示 一 个 对 话 框 ， 要 求 输入 正确 的 登录 用 户 名 和 口令 进行 用 户 身份 的 确认 。 
若是 合法 用 户 ， 则 显示 所 访问 的 文件 内 容 。 此 后 访问 该 目录 的 每 个 文件 时 ， 浏 览 器 会 自动 
送出 用 户 名 和 密码 ， 不 用 再 次 输入 ， 直 到 关闭 浏览 器 为 止 。 用 户 认 证 功能 起 到 了 一 个 屏障 
的 作用 ， 限 制 非 授权 用 户 非法 访问 一 些 私 有 的 内 容 。 

在 Apache 中 支持 两 种 类 型 的 认证 方式 : 基本 认证 和 摘要 认证 。 基 本 认证 是 传统 的 基 
于 用 户 名 和 密码 的 认证 方式 。 而 摘要 认证 用 来 提供 比 基 础 认证 更 高 级 别 的 安全 ， 它 是 一 种 
基于 挑战 -应 答 模式 的 认证 模型 。 这 是 一 种 常用 的 技术 ， 用 于 证 明 某 人 知道 某 个 秘密 ， 而 
不 要 求 他 以 容易 被 窃听 的 明文 形式 发 送 该 秘密 。 尽 管 摘要 认证 更 加 安全 ， 但 并 不 是 所 有 的 
浏览 器 都 支持 这 种 认证 。 所 以 大 多 数 情况 下 使 用 的 依然 是 基本 认证 。 

下 面 我 们 通过 一 个 实例 讲解 在 Apache 中 启用 用 户 认 证 功能 的 方法 。 

假设 有 一 个 名 为 mywebsite 的 虚拟 目录 ， 其 对 应 的 物理 路 径 是 /nsrlocalmywebsite， 
现 需 要 对 其 启用 用 户 认证 功能 ， 只 人 允许 用 户 名 为 test 的 用 户 访问 ， 设 置 用 户 认证 的 具体 操 
作 步 又 如 下 。 

1) 建立 密码 文件 

要 实现 用 户 认证 功能 ， 首 先 要 建立 用 户 名 和 密码 的 文件 。Apache 自 带 的 htpasswd 命 
令 提供 了 建立 和 更 新 存储 用 户 名 、 密 码 的 文本 文件 的 功能 。 需 要 注意 的 是 ， 这 个 文件 必须 
放 在 不 能 被 网 络 访问 的 位 置 ， 以 避免 被 下 载 。htpasswd 命令 的 使 用 格式 如 下 : 

htpasswd -c < 认证 密码 文件 名 > < 用 户 名 > 


例如 此 文件 放 在 /etc/httpd/ 目 录 下 ， 文 件 名 为 passwd。 使 用 以 下 命令 建立 口令 文件 。 


[root@Centos ~]# htpasswd -c /etc/httpd/passwd test 
New password: 
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Re-type new password: 
Adding password for user test 


其 中 ，“-c” 选 项 表示 无 论 密码 文件 是 否 已 经 存在 ， 都 会 重新 写 入 文件 并 删 去 原 有 
内 容 。 
2) 建立 虚拟 目录 并 配置 用 户 认证 
在 Apache 的 主 配置 文件 httpd.conf 中 加 入 以 下 语句 建立 虚拟 目录 并 配置 用 户 认证 。 
Apache 中 配置 用 户 认 证 的 主要 选项 如 表 8-3 所 示 。 


表 8-3 ”Apache 用 户 认 证 选项 及 其 含义 
含义 


AuthName AuthName 认证 名 称 定义 受 保护 领域 的 名 称 
AuthType 定义 使 用 基本 认证 还 是 摘要 认证 


AuthGroupFile AuthGroupFile 文件 名 指定 认证 组 文件 的 位 置 
AuthUserFile AuthUserFile 文件 名 指定 认证 文件 的 位 置 


例如 下 面 的 例子 : 


Alias /mywebsite "/usr/local/mywebsite" 

<Directory "/usr/local/ mywebsite "> 

AuthType Basic 

AuthName "This is a private directory. Please Login:" 
AuthUserFile /etc/httpd/passwd 

Require user test 

</Directory> 


上 面 的 例子 设置 的 主要 内 容 有 : 

(1) 设置 认证 类 型 AuthType Basic 

AuthType 选项 定义 了 对 用 户 实施 认证 的 类 型 ， 最 常用 的 是 由 mod_auth 提供 的 
Basic。 

(2) 设置 认证 领域 内 容 AuthName "This is a private directory. Please Login:" 

AuthName 选项 定义 了 Web 浏览 器 显示 输入 用 户 /密码 对 话 框 时 的 领域 内 容 。 

(3) 设置 密码 文件 的 路 径 AuthUserFile /etc/httpd/passwd 

AuthUserFile 选项 定义 了 口令 文件 的 路 径 ， 即 使 用 htpasswd 建立 的 口令 文件 。 

(4) 设置 允许 访问 的 用 户 Require user test 

Require user 选项 定义 了 人 允许 哪些 用 户 访问 ， 各 用 户 之 间 用 空格 分 开 。 

3) 测试 用 户 认 证 

进行 完 以 上 的 设置 后 ， 下 面 我 们 来 测试 一 下 访问 认证 网 站 的 结果 。 

首选 需要 在 服务 器 中 使 用 命令 “/etc/init.d/httpd restart” 来 重启 Web 服务 。 

其 次 ， 测 试用 户 认证 时 最 好 在 虚拟 目录 中 建立 一 个 名 为 index.html 的 文件 ， 否 则 输入 
正确 的 用 户 名 和 口令 后 ， 由 于 虚拟 目录 既 没有 设置 默认 文档 ， 也 没有 设置 允许 目录 浏览 ， 
所 以 会 出 现 “403 Forbidden” 的 错误 信息 。 另 外 ， 我 们 还 要 使 Apache 有 访问 测试 目录 和 
文件 的 权限 。 使 用 以 下 的 命令 。 


[root@CentOs ~]# chown apache /usr/local/mywebsite/ 
[root@CentOs ~]# chown apache /usr/local/mywebsite/index.html 
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[root@CentOs ~]# chmod 700 /usr/local/mywebsite/index.html 
[root@CentOs ~]# chmod 700 /usr/local/mywebsite/ 


在 客户 端的 Web 浏览 器 中 访问 这 个 虚拟 目录 ， 这 时 Web 浏览 器 会 弹出 输入 用 户 名 和 
密码 的 对 话 框 ， 如 图 8-6 所 示 。 
输入 正确 的 用 户 名 和 密码 ， 就 能 访问 该 网 站 内 容 ， 如 图 8-7 所 示 。 


DOr rT “DOEE 


you have the right to access this page. 


图 8-6 输入 用 户 名 和 密码 的 对 话 框 图 8-7 经 过 认证 后 可 以 正常 访问 
如 果 输 入 的 用 户 名 和 密码 不 正确 ， 则 出 现 “Authorization Required” 的 错误 信息 ， 如 
8-8 所 示 。 


A 


B © x | 01 authorization Requir- > 


Oe mm 


Authorization Required 
This server could not verity that you are outhorized to access the document requested. Ether you 


supplied the wrong redentials (8 .bad password). or your browser Goesn't understand how io 
supply he credentials requred 


Apachel2.2.3 (CentO3) Server at 192 168.111.133 Port 80 


图 8-8 用 户 认 证 失败 的 错误 信息 
上 述 的 认证 方法 可 以 使 用 .htaccess 文件 来 实现 ， 其 效果 是 一 样 的 。 


8.8 配置 Apache 支持 动态 网 页 


除了 对 静态 HTML 文件 的 支持 ，Apache 服务 器 还 可 以 支持 多 种 形式 的 动态 网 页 ， 包 
括 CGI 脚本 、PHP 以 及 JSP 语言 等 。 下 面 我 们 来 详细 介绍 如 何 配置 Apache 服务 器 来 支持 
这 些 语 言 。 
8.8.1 ”CGI 运行 环境 的 配置 


CGI(Common Gateway Interface， 通 用 网 关 接 口 ) 用 于 连接 网 页 和 Web 服务 器 应 用 程序 
的 接口 。HTML 语言 的 功能 比较 贫乏 ， 难 以 完成 诸如 访问 数据 库 等 一 类 的 操作 ， 而 实际 的 
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情况 则 是 经 常 需要 先 对 数据 库 进 行 操作 (比如 文件 检索 系统 )， 然 后 把 访问 的 结果 动态 地 显 
示 在 网 页 上 。 诸 如 此 类 的 需求 只 用 HTML 是 无 法 做 到 的 ， 所 以 CGI 便 应 运 而 生 。CGI 是 
在 Web 服务 器 运行 的 一 个 可 执行 程序 ， 由 网 页 的 一 个 超 链接 激活 进行 调用 ， 并 对 该 程序 
的 返回 结果 进行 处 理 ， 显 示 在 客户 端的 Web 浏览 器 上 。 用 CGI 程序 可 以 实现 处 理 网 页 的 
表单 处 理 、 数 据 库 查 询 、 发 送 电子 邮件 等 工作 。CGI 使 网 页 变 得 不 再 是 静态 的 ， 而 是 交互 
式 的 。Web 服务 器 的 CGI 程序 需要 有 用 户 调用 才 会 执行 ， 浏 览 器 、Web 服务 器 和 CGI 程 
序 之 间 的 基本 工作 流程 如 下 : 

(1) 用 户 通 过 Web 浏览 器 访问 CGI 程序 。 

(2) Web 服务 器 接收 用 户 请 求 并 交 给 CGI 程序 处 理 。 

(3) CGI 程序 执行 基于 输入 数据 的 操作 ， 包 括 查询 数据 库 、 计 算数 值 或 调用 系统 中 其 
他 程序 。 

(4) CGI 程序 产生 某 种 Web 服务 器 能 理解 的 输出 结果 。 

(5) Web 服务 器 接收 来 自 CGI 程序 的 输出 并 且 把 它 传 回 Web 浏览 器 。 

要 让 CGI 程序 能 够 正常 运行 ， 首 先 必须 在 Linux 中 安装 Perl 语言 解析 器 ， 使 Linux 能 
够 正常 运行 Perl 语言 编写 的 脚本 ， 其 次 ， 需 要 配置 httpd.conf 文件 使 Apahce 支持 CGI 脚 
本 。 具 体 的 操作 步骤 如 下 。 

1. Perl 语言 解释 器 的 安装 

CGI 可 以 用 任何 一 种 语言 编写 ， 只 要 这 种 语言 具有 标准 输入 、 输 出 和 环境 变量 ， 如 
Perl、C、C++、Java。 其 中 ，Perl 易 编译 调试 、 移 植 性 颇 强 ， 在 众多 的 CGI 编程 语言 中 ， 
Perl 以 其 良好 的 支持 、 容 易 上 手 等 特点 脱颖而出 ， 几 乎 成 为 了 CGI 的 标准 语言 。 每 当 人 们 
提 到 CGI 的 时 候 ， 必 然 会 想到 Perl。Perl(Practical Extraction and Reporting Language， 实 用 
摘录 与 报告 语言 )， 自 1987 年 初次 登台 亮相 以 来 ， 它 的 用 户 数 一 直 急剧 膨胀 。Perl 不 是 由 
某 个 公司 大 力 推广 而 得 到 发 展 的 ， 正 如 Java 那样 ，Perl 全 凭 自身 的 优势 来 发 展 。 从 最 初 被 
当 作 一 种 在 跨 平台 环境 中 书写 可 移植 工具 的 高 级 语言 开始 ，Perl 就 已 经 被 广泛 地 认为 是 一 
种 工业 级 的 强大 工具 。Perl 特别 适合 系统 管理 和 Web 编程 。Perl 实际 上 已 经 被 所 有 
Linux( 包 括 UNIX) 捆 绑 在 一 起 作为 标准 部 件 发 布 了 ， 如 今 的 Perl 语言 已 经 被 移植 到 除了 
Linux 之 外 的 多 种 操作 平台 上 。 

默认 情况 下 ， 大 多 数 Linux 的 发 行 版 本 都 已 经 将 Perl 语言 解释 器 安装 在 系统 上 ， 读 者 
可 使 用 下 面 的 命令 检查 系统 是 否 已 经 安装 了 Perl 解释 器 或 查看 已 经 安装 了 何 种 版 本 。 

[root@CentoOs ~]# rpm -q perl 

perl-5.8.8-27.e15 

从 命令 执行 结果 看 出 ， 在 CentOS 5.5 中 ，Perl 解释 器 已 安装 ， 它 的 版 本 为 5.8.8-27。 

如 果 系 统 还 没有 安装 Perl 解释 器 ， 应 将 CentOS 的 安装 光盘 放 入 光驱 ， 加 载 光驱 后 在 
光盘 的 Server 目录 下 找到 Perl 解释 器 的 RPM 安装 包 文件 perl-5.8.8-27.el5.1386.rpm， 使 用 
下 面 命令 安装 Perl 解释 器 。 


[root@Centos ~]# rpm -ivh /mnt/cdrom/CentOs/perl-5.8.8-27.e15.i386.rpm 


2. httpd.conf 文件 的 配置 
首选 需要 在 设置 存放 CGI 文件 的 目录 权限 ， 设 置 存放 CGI 文件 的 目录 权限 可 以 告诉 
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Apache 允许 CGI 程序 在 哪些 目录 下 运行 。 使 用 Options 选项 指定 允许 运行 CGI 执行 的 目 
录 的 格式 如 下 : 


<Directory "/var/www/hrdocs/somedir"> 
Options +ExecCGI 
</Directory> 


另外 ， 也 可 以 使 用 .htaccess 文件 来 实现 上 述 功能 ， 即 将 格式 中 的 “Options +ExecCGI” 
改 为 “AllowOverride Options ”， 然 后 在 相应 目录 中 建立 .htaccess 文件 ， 将 “Options 
+ExecCGI” 放 入 该 文件 中 ， 可 以 达到 同样 的 效果 。 

其 次 ， 需 要 标明 CGI 程序 的 文件 类 型 ， 在 httpd.conf 中 添加 以 下 选项 。 


AddHandler cgi-script .cgi pl 


该 语句 告诉 Apache 扩展 名 为 “.cgi” 的 文件 是 CGI 程序 。“pl” 表 示 同 时 想 运行 扩展 
名 为 .pl 的 文件 。 

进行 以 上 的 设置 后 ， 就 完成 了 Apache 服务 器 支持 CGI 脚本 的 设置 ， 下 面 我 们 同一 个 
简单 的 测试 来 验证 CGI 运行 环境 。 

我 们 将 /var/www/html 目录 作为 执行 CGI 脚本 的 目录 ， 即 在 httpd.conf 中 添加 以 下 
选项 。 

<Directory "/var/www/html"> 


Options +ExecCGI 
</Directory> 


在 CGI 文件 存放 的 目录 中 建立 一 个 名 为 test.cgi 的 文件 ， 该 文件 的 内 容 如 下 。 


#!/usr/bin/perl 
print "Content-type: text/html\n\n"; 
print "<hl>Hello World!</hl>\n"; 


这 个 脚本 程序 的 含义 是 使 用 print 语句 输出 两 行 字符 串 ， 其 中 “1/usr/bin/perl” 是 每 一 
个 Perl 都 必须 有 的 ， 它 告诉 操作 系统 这 是 一 个 Perl 的 脚本 程序 。 下 面 ， 我 们 将 此 文件 设 
为 Apache 可 执行 的 文件 ， 使 用 以 下 的 命令 : 


[root@CentOs ~]# chmod a+X /var/www/html/test.cgi 


此 时 我 们 可 以 直接 在 操作 系统 中 执行 test.cgi 来 查看 输出 效果 ， 如 下 面 的 代码 所 示 : 


[root@CentOs html]# ./test.cgi 
Content-type: text/html 本 
<hl>Hello World!</hl> < 图 


全 mp9216. PD- 8 cx| 厨 92lalll133 


现在 再 用 客户 端的 浏览 器 访问 “http:/Linux Hello Worla! 


服务 器 的 卫 地 址 /test.cgi”， 如 果 出 现 如 图 8-9 所 | 
示 的 “Hello World!”， 则 代表 CGI 运行 环境 配 
置 成 功 。 


CGI 程序 的 功能 非常 强大 ， 从 简单 的 文本 显 
示 到 处 理 用 户 提交 的 数据 都 可 以 实现 ， 具 体 的 实 me 
现 方法 有 兴趣 的 读者 可 以 参考 相关 资料 。 图 8-9 程序 运行 结果 


第 8 章 WWW 服务 的 配置 及 应 用 237 


8.8.2 PHP 运行 环境 的 设置 


PHP(PHP Hypertext Preprocessor， 超 级 文本 预 处 理 语言 ) 是 一 种 HTML 内 蔡 式 的 语 
言 ，PHP 与 微软 公司 的 ASP 的 用 法 非常 相似 ， 都 是 一 种 在 服务 器 端 执行 的 “嵌入 HTML 
文档 的 脚本 语言 ”， 语 言 的 风格 类 似 于 C 语言 ， 现 在 被 很 多 的 网 站 编程 人 员 广泛 运用 。 
PHP 独特 的 语法 混合 了 C、Java、Perl 以 及 PHP 自 有 的 语法 。 它 可 以 比 CGI 或 者 Perl 更 
快速 地 执行 动态 网 页 。 用 PHP 做 出 的 动态 页 面 与 其 他 的 编程 语言 相 比 ，PHP 是 将 程序 嵌 
入 到 HTML 文档 中 去 执行 ， 执 行 效率 比 完全 生成 HTML 标记 的 CGI 要 高 许多 ; 与 同样 是 
嵌入 HTML 文档 的 脚本 语言 JavaScript 相 比 ，PHP 在 服务 器 端 执行 ， 充 分 利用 了 服务 器 的 
性 能 ;PHP 执行 引擎 还 会 将 用 户 经 常 访问 的 PHP 程序 驻 留 在 内 存 中 ， 其 他 用 户 在 访问 这 
个 程序 时 就 不 需要 重新 编译 程序 了 ， 只 要 直接 执行 内 存 中 的 代码 就 可 以 了 ， 这 也 是 PHP 
高 效率 的 体现 之 一 。PHP 具有 非常 强大 的 功能 ， 所 有 的 CGI 或 者 JavaScript 的 功能 PHP 
都 能 实现 ， 而 且 支 持 几乎 所 有 流行 的 数据 库 和 操作 系统 。PHP 具有 下 列 特点 。 
e@ ” 跨 平台 : PHP 程序 可 以 运行 在 UNIX、Linux 或 Windows 操作 系统 下 。 
e 髓 入 HTML: 因为 PHP 语言 可 以 嵌入 到 HTML 内 部 ， 所 以 PHP 很 容易 学 习 。 
@ ”简单 的 语言 : 与 Java 和 C++ 不 同 ，PHP 语言 坚持 以 基本 语言 为 基础 ， 然 而 它 的 
功能 强大 到 足以 支持 任何 类 型 的 Web 站 点 。 
e@ ”效率 高 ， 和 其 他 的 解释 性 语言 相 比 ，PHP 系统 消耗 较 少 的 系统 资源 。 当 PHP 作 
为 Apache Web 服务 器 的 一 部 分 时 ， 运 行 代码 不 需要 调 外 部 二 进 制程 序 ， 服 务 器 
解释 脚本 不 需要 承担 任何 额外 负担 。 
@ 支持 各 种 数据 库 : 用 户 可 以 使 用 PHP 存 取 Oracle、Sybase、MS-SQL、MySQL、 
PostgreSQL、dBase、FilePro 和 Informix 等 类 型 的 数据 库 。 
@ ”文件 存 取 : PHP 有 许多 支持 文件 存 取 函 数 。 
文本 处 理 : PHP 有 许多 函数 处 理 字符 串 ， 其 中 包括 模式 匹配 的 能 力 。 
e@ ”复杂 的 变量 : PHP 支持 标量 、 数 组 、 关 联 数组 等 变量 ， 这 给 用 户 提供 了 支持 其 他 
的 高 级 数据 结构 的 坚实 基础 。 
@ 支持 图 像 处 理 : 用 户 可 以 使 用 PHP 动态 创建 图 像 。 


1. PHP 解释 器 的 安装 


读者 可 使 用 下 面 的 命令 检查 系统 是 否 已 经 安装 了 PHP 解释 器 或 查看 已 经 安装 了 何 种 
版 本 。 


[rootecentoSs /]# rpm -q php 

php-5.1.6-27.e15 

从 图 中 可 以 看 到 ， 系 统 虽然 已 经 安装 了 PHP 包 ， 但 安装 的 并 不 完全 ， 还 需要 php-cli- 
5.1.6-27.el5.i386.Ipm 以 及 php-common-5.1.6-27.el5.i386rpm 这 两 个 程序 。 我 们 可 以 在 
CentOS 的 安装 光盘 中 找到 这 两 个 RPM 安装 包 ， 使 用 以 下 命令 安装 PHP 解释 器 。 


[rooteCentOS usr]# rpm -ivh php-common-5.1.6-27.e15.i386.rpm 
Preparing... 非 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 间 间 提 提 间 间 提 # [OOSS] 
[rooteCentOS usr]# rpm -ivh php-cli-5.1.6-27.e15.i386.rpm 

Preparing... 非 非 提 提 莫 提 提 非 提 提 提 提 非 提 提 提 提 提 韭 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 间 提 提 提 间 间 提 # [OO 名] 
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安装 成 功 后 ， 所 有 的 安装 内 容 包 括 : 


[rootecentOoSs /]# rpm -ql php 
/etc/httpd/conf.d/php.conf 
/usr/lib/httpd/modules/libphp5-zts.so 
/usr/lib/httpd/modules/libphp5.so 
/var/lib/php/session 
/var/www/icons/php.gif 


2. 了 解 php.conf 文件 
在 Apache 主 配 置 文件 httpd.conf 中 我 们 介绍 过 ，“Include conf.d/*.conf” 选 项 的 含义 


是 将 目录 /etc/httpd/conf.d/ 中 的 所 有 *.conf 文件 包含 到 httpd.conf 中 。PHP 解释 器 的 安装 程 
序 会 自动 在 目录 /etc/httpd/conf.d/ 中 建立 一 个 名 为 php.conf 的 配置 文件 ， 这 个 文件 包含 了 
PHP 的 配置 选项 。 下 面 我 们 来 介绍 php.conf 文档 中 的 内 容 。 


[root@CentOs conf.d]# more php.conf 
# 由 于 篇 幅 所 限 ， 在 此 省 略 了 php .conf 文件 中 的 所 有 英文 解释 内 容 
<IfModule prefork.c> 
LoadModule php5 module modules/libphp5.so 
</IfModule> 
<IfModule worker.c> 
LoadModule php5 module modules/1libphp5-zts.so  # 装 载 php 模块 
</IfModule> 


AddHandler php5-script .php # 添 加 解析 器 来 处 理 .php 文件 
AddType text/html .php # 设 定 .php 文件 的 媒体 类 型 
DirectoryIndex index.php # 添 加 index .php 为 主页 文件 


另外 ， 由 于 历史 原因 ， 许 多 原来 许多 基于 PHP3 的 程序 文件 扩展 名 为 .php3。 为 了 能 让 


这 些 PHP3 的 程序 文件 运行 ， 应 该 在 php.conf 文件 中 为 .php3 扩展 名 的 文件 建立 映射 。 编 
辑 /etc/httpd/conf.d/php.conf， 将 “AddHandler php5-script .php” 选 项 改 为 “AddHandler php5- 
script .php .php3”。 


立 一 个 名 为 test.php 的 文件 ， 该 文件 的 内 容 
如 下 。 
<? phpinfo(); ?> eo mio een 
在 客户 端的 浏览 器 中 访问 “http//Linux | 靶 汪 人 eecenes | . 


服务 器 的 全 地 址 /testphp”， 如 果 出 现 如 


3. 测试 PHP 运行 环境 


测试 PHP 运行 环境 的 具体 步骤 如 下 。 
在 Apache 主 目录 /Var/www/html/ 中 建 


图 8-10 PHP 测试 页 面 


8-10 所 示 的 PHP 的 信息 页 面 ， 则 表示 
PHP 运行 环境 配置 成 功 。 


8.8.3 JSP 运行 环境 的 配置 


JSP(Java Server Pages) 是 由 Sun Microsystems 公司 倡导 、 许 多 公司 一 起 参与 建立 的 一 
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种 基于 Java 技术 的 动态 网 页 技术 标准 。 在 传统 的 网 页 HTML 文件 (*.htm、*.htmD) 中 嵌入 
了 Java 代码 的 一 个 脚本 ， 由 脚本 完成 查询 数据 库 、 重 新 定向 网 页 和 发 送 电 子 邮 件 等 动态 
操作 。 所 有 程序 操作 都 在 服务 器 端 执 行 ， 网 络 上 传送 给 客户 端的 仅 是 得 到 的 HTML 结 
果 。 在 这 一 点 上 ，JSP 与 ASP 和 PHP 等 脚本 语言 一 样 。 但 JSP 与 其 他 脚本 不 同 的 是 ， 
ASP 和 PHP 等 传统 脚本 语言 由 服务 器 直接 解释 这 个 脚本 ， 而 JSP 则 由 JSP 容器 (如 Tomcab 
首先 将 其 转化 为 Servlet， 然 后 再 调用 Javac 编译 器 将 Servlet 编译 为 二 进 制 的 Class 文件 ， 
服务 器 最 终 运行 的 是 Class 文件 ， 所 以 运行 效率 要 比 传统 解析 性 的 脚本 语言 更 高 。 

自 JSP 推出 以 来 ， 得 到 了 众多 大 公司 的 支持 ， 纷 纷 推出 了 文 持 JSP 技术 的 服务 器 ， 例 
如 IBM、Oracle 等 ， 所 以 JSP 迅速 成 为 了 商业 应 用 的 服务 器 端 语言 。Apache 和 Tomcat 是 
Apache 基金 会 下 属 的 两 个 项 目 ， 两 者 能 够 实现 很 好 的 兼容 ， A 作为 前 端的 HTTP 
Web 服务 器 ，Tomcat 作为 后 端的 Servlet 容器 。 


1. JDK 的 安装 


由 于 Tomcat 需要 在 Java 平台 上 运行 ， 因此， 首先 需要 安装 Java 开发 工具 ， 即 
JDK。 我 们 可 以 从 http://www.oracle.com/technetwork/java/javase/downloads/ 网 站 处 下 载 
JDK 的 最 新 版 本 ， 如 图 8-11 所 示 。 目 前 的 最 新 版 本 为 7u3， 文 件 名 为 jdk-7u3-linux- 
i586.rpm。 下 载 此 RPM 包 后 ， 将 其 放 入 Linux 系统 中 ， 运 行 以 下 命令 开始 安装 。 


[root@CentOs usr]# rpm -ivh jdk-7u3-linux-i586.rpm 
Preparing... 非 莫非 非 提 提 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 提 井 并 井 井 井 并 [1OO 名 ] 
1:jdk 非 非 非 莫 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 井 提 井 井 井 # 井 并 [1OOSS] 

Unpacking JRR files... 

Es 

jsse.jar... 

charsets.jar... 

tools. jar.ss 

localedata.jar... 

plugin.jar... 

javaws .jar... 

deploy.jar... 


Java SE Development Kit7u3 
You must accept the Oracle Binary Code License Aqreement for Java SE to download this 
software. 


Thank you for accepting the Oracle Binary Code License Agreement for Java SE; 
you may now download this software. 


Product / File Description Fie sae Download 
Linux x86 (32-bit) 63.65 MB $ jdk-7u3-inyx-i586.rpm 
Linuxx86 (32-bil) 78.56 MB $ idk-7u3 -linux 1596.tar.gz 
Linux x64 (64-bft) 64.53 MB $$ jdk-7u3-linux-x64.rpm 

Linux x64 (64-bR) T73MB $ jdk-7u3-inux-x64.tar.gz 
Solaris x86 (32-bil) 135.96 MB $ jdk-7u3-solaris 586.iarZ 
Solaris x86 (32-bit) 81.4 MB 和 这 k 

Solaris SPARC (32-bit) 138 92 MB $ jdk-7u3-solaris-sparc.tar.Z 
Solaris SPARC (32-bit) 36.07 MB # jdk-7u3-solaris-sparc.tar.qz 
Solaris SPARC (64-bil) 16.14 MB idk-7u3-solaris sparcv9.tarZ 
Solaris SPARC (64-bit) 1231MB $ jdk-7u3-solaris-sparcv9 ,tar.gz 
Solaris x64 (54-bi 14.45 MB jdk 7u3-solaris x64.tarZ 
Solaris x64 (54-bf) 9.25 MB $ jdk-7u3-solaris-x64.tar.gz 
Windows x86 (32-bi 34.12 MB 至 jdk-] ir 

Windows x64 (54-bil) 87.41 MB jdk 


图 8-11 JDK 下 载 页 面 


JDK 安装 完成 后 ， 我 们 还 需要 运行 以 下 的 命令 来 设置 环境 变量 ， 这 些 命令 最 好 设 为 开 
机 自动 执行 。 
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[rooteCentOS /]# export JAVA HOME=/usr/java/jdkl.7.0_03 


[root@CentOs /]# export 
CLASSPATH=.: $JAVA HOME/1ib dts ja S$JAVA HOME/lib/tools :ja 
[rooteCentOS /]# export PATH=$PATH:$JAVA HOME/bin 


2. 安装 Tomcat 


默认 情况 下 CentOS 安装 程序 不 会 将 Tomcat 服务 安装 在 系统 上 ， 读 者 可 以 使 用 下 面 
的 命令 检查 系统 是 否 已 经 安装 了 Tomcat 服务 或 查看 已 经 安装 了 何 种 版 本 。 


[root@Centos /]# rpm -q tomcat 
package tomcat is not installed 


从 显示 内 容 可 以 看 出 ， 系 统 当 前 还 没有 安装 Tomcat 服务 。 我 们 可 以 在 CentOS 5.5 的 
安装 光盘 中 找到 Tomcat5 的 安装 程序 ，Tomcat 服务 的 关联 程序 非常 多 ， 需 要 用 户 逐 个 安 
装 这 些 RPM 包 ， 在 此 我 们 不 详细 介绍 这 种 安装 方法 ， 而 是 使 用 一 种 更 加 简单 的 安装 方 
法 ， 在 Tomcat 的 官方 网 站 中 提供 了 Tomcat 的 安装 程序 ， 并 且 解 压缩 后 就 可 以 直接 使 用 。 
读者 可 以 访问 网 址 http://tomcat.apache.org/ 来 获得 最 新 的 安装 程序 ， 如 图 8-12 所 示 。 


es De apache org -$m 二 a 
Rte- Ce am TIM CaT BR DT CR > Fe 
™ 本 
Apache Tomcat SApache 
Software, Foundation 
Search the She Bomch Ste 


he Te pase Thi pape proves dowmload hnkes for obtaining the ea 
rp rr pr en ere 


8-12 Tomcat 官方 网 站 


Tomcat 最 新 的 版 本 为 7.0.26， 但 此 处 我 们 以 实际 使 用 较 多 的 6.0.35 版 本 为 例 介 绍 安装 
过 程 。 
首先 将 文件 apache-tomcat-6.0.35.tar.gz 复制 到 当前 目录 ， 使 用 以 下 命令 将 其 解压 缩 。 


[root@CentOs usr]# tar -zvxf ./apache-tomcat-6.0.35.tar.gz 


解压 完成 后 ， 所 有 文件 都 放 在 apache-tomcat-6.0.35 目录 中 ， 其 默认 的 配置 文件 已 经 
可 以 使 用 ， 因 此 ， 我 们 输入 以 下 命令 就 可 以 启动 Tomcat 了 。 


[root@CentOs usr]# ./apache-tomcat-6.0.35/bin/startup.sh 
Using CATALINA BASE: /usr/apache-tomcat-6.0.35 

Using CATALINA HOME: /usr/apache-tomcat-6.0.35 

Using CATALINA TMPDIR: /usr/apache-tomcat-6.0.35/temp 


Using JRE HOME: /usr 
Using CLASSPATH: /usr/apache-tomcat-6.0.35/bin/bootstrap.jar 


为 了 确定 Tomcat 是 否 正常 运行 ， 我 们 可 以 使 用 ps 命令 来 查看 Tomcat 进程 是 否 已 经 
启动 ， 如 下 面 的 内 容 所 示 。 
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[root@CentOs usr]# ps -eaf | grep tomcat 

root 7273 1 9 12:00 pts/0 00:00:02 /usr/bin/java — 
Djava.util.logging.config.file=/usr/apache-tomcat— 
6.0.35/conf/logging.properties — 
Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -— 
Djava.endorsed.dirs=/usr/apache-tomcat-6.0.35/endorsed -classpath 
/usr/apache-tomcat-6.0.35/bin/bootstrap.jar -Dcatalina.base=/usr/apache— 
tomcat-6.0.35 -Dcatalina.home=/usr/apache-tomcat-6.0.35 — 
Djava.io.tmpdir=/usr/apache-tomcat-6.0.35/temp 
org.apache.catalina.startup.Bootstrap start 

root 7300 7207 0 12:00 pts/0 00:00:00 grep tomcat 


在 Tomcat 的 进程 中 之 所 以 有 这 么 多 参数 ， 主 要 是 因为 Tomcat 是 运行 在 Java 虚拟 机 
环境 下 。 默 认 情 况 下 ，Tomcat 会 监听 TCP 8080 端口 ， 我 们 再 查看 一 下 此 端口 是 否 已 经 在 
监听 状态 。 


[root@CentOs usr]# netstat -an | grep :8080 
top 0 0 :::8080 六 二 和 LISTEN 


可 以 看 到 ， 端 口 的 监听 也 处 于 正常 状态 ， 为 了 保证 客户 端 能 够 正常 访问 Tomcat 服务 
器 ， 还 需要 在 防火 墙 开放 8080 端口 。 


iptables -I INPUT -p tcp --dport 8080 -j ACCEPT 


经 过 上 述 的 配置 以 后 ， 我 们 可 以 使 用 客户 端 访 问 Tomcat 服务 器 了 ， 正 常情 况 下 ， 在 
浏览 器 中 输入 地 址 “http://Linux 服务 器 地 址 :8080”， 如 果 出 现 如 图 8-13 所 示 的 测试 页 
面 ， 则 说 明 客 户 端 已 经 能 够 正常 访问 Tomcat 服务 器 了 。 


eT 192168111133 - 40 等 amd 全 
Lea- Cus Op Om Ou Oo DH 口 sm > ens7 . Ms - ue- 中 Re Dt - De- 


Apache Tomcat 
小 rw Apache Software Foundation 
http://www.apache.org/ 


fyou're seeing this page via 3 web browser, It means you've setup Tomcat 
Successfuly Congratulaions 


As You may have guessed by now ths 's the detaut Tomcat home page Kcanbe fond onthe 
ioca fesystem al 


SCchznLINR_HoME/webapps/pOoT/index.hrml 


Where -SCATAUINA_HOME-s he rool of the Tomcainstalabion chrectory If yosire seeing this 

and you dont hink you shou be then youie eher a user who has arnve at Pew 
nsialation of Tomcal, of Youie an adrmntsirator who hasr'i gol she’ setup qute ng 
Pronding he atter's the case. please eferio the Tomcat Docunertahon or more detailed 
Setip and admmstaton infomabon han Is ound in the INSTALL Me 


NOTE: For securty reasons, using ‘he manager webapp is resticted to users with role 
“manager”. Users are defined in SATA TA og/con /tonest -weers. mal. 


Inchded wih mis release area ho! ol sample Serviets and JSPs (wih ascocialed source 
code), exensive documentation, and an introductory gude io developng web appications 


Tomeat main st are veieble at he Tomcat proed web sis 
图 8-13 ” Tomcat 测试 页 面 
3. 整合 Apache 和 Tomcat 


虽然 Tomcat 可 以 独立 作为 Web 服务 器 运行 ,但 Tomcat 的 Web 功能 远 没 有 Apache 
强大 ， 所 以 在 实际 应 用 中 是 通过 mod jk 连接 器 (Connectors) 将 Apache 和 Tomcat 整合 在 一 
起 提供 服务 的 ，Apache 处 理 静 态 页 面 的 请 求 ，Tomcat 则 用 于 处 理 Servlet 和 JSP 程序 。 

1) 下 载 mod jk 

我 们 以 mod_jk 连接 器 的 稳定 版 本 1.2.23 为 例 ， 介 绍 使 用 mod_jk 的 方法 ,使 用 Web 
浏览 器 访问 http://www.apache.org/dist/tomcat/tomcat-connectors/jk/binaries/linux/jk-1.2.23/， 
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单 击 页 面 的 “mod jk-1.2.23-apache- 2.2.x-linux-i686.so” 超 链接 ， 下 载 mod 六 ， 文 件 大 小 
约 为 589KB， 如 图 8-14 所 示 。 


archive.apache.org 


This shte contains the bistorial archive of old safware raleases, 


For carent roleases, please vi the mirors 


2007-07- 
2007-07-06 02:20 109 
2007-07-06 02:20 6438 


2007-07-06 oz:21 189 


Apache2.4.1 (Unix) OpenSSL/1.0.0 Server at archive eveche org Port S0 
8-14 ”连接 器 下 载 页 面 


2) 安装 和 配置 mod jk 

将 mod_jk-1.2.23-apache-2.2.x-linux-i686.so 复制 到 /etc/httpd/modules 目录 中 ， 并 将 它 
重 命 名 为 mod_jk.so。 在 /usr/apache-tomcat-6.0.35/conf 目录 中 新 建 子 目录 水 ， 并 新 建文 件 
workers.properties， 内 容 如 下 : 


workers.tomcat home=/usr/apache-tomcat-6.0.35/ 
workers.java home=/usr/1ib/jvm/java 

ps=/ 

worker .list= ajpl3 

worker.ajpl3.port=8009 
worker.ajpl3.host=192.168.111.133 

worker .ajpl3.type=ajpl13 
worker.ajpl3.1bfactor=1 


修改 /usr/share/tomcat5/conf/server.xml 文件 ， 在 <Engine name="Catalina" defaultHost= 
"localhost"> 语 句 下 添加 以 下 语句 : 


<Listener className= "org.apache.jk.config. RpacheCconfig" 
modJk="/etc/httpd/modules/mod jk.so" /> 


重新 启动 Tomcat 服务 ， 这 时 将 自动 生成 目录 /usr/apache-tomcat-6.0.35/conf/auto 和 文件 
/usr/apache-tomcat-6.0.35/conf/auto/mod _jk.conf。 将 文件 /usr/apache-tomcat-6.0.35/conf/auto/ 
mod_jk.conf 复制 到 /usr/apache-tomcat-6.0.35/confjk 目录 中 ， 并 重 命名 为 mod_jk.conf-auto。 
修改 mod 让 .conf-auto 文件 ， 修 改 后 内 容 如 下 。 


<IfModule !mod jk.c> 

LoadModule jk module "/etc/httpd/modules/mod jk.so" 

</IfModule> 

JkWorkersFile "/usr/apache-tomcat-6.0.35/conf/jk/workers.properties" 
JkLogFile "/usr/apache-tomcat-6.0.35/10gs/mod jk.10g" 

JkLogLevel emerg 

<VirtualHost *:80> 

ServerName localhost 

JkMount /*.jsp ajpl3 

</VirtualHost> 
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3) 配置 Tomcat 

要 实现 Apache 和 Tomcat 整合 ， 需 要 设置 Apache 和 Tomcat 的 主 目录 一 致 。 由 于 
Tomcat 默认 的 主 目录 是 /var/lib/tomcat5/webapps/(ROOT， 因 此 应 编辑 Tomcat 的 主 配置 文件 
/usr/share/tomcat5/conf/server.xml， 找 到 如 下 内 容 : 


<Host name="localhost" appBase="webapps" 
unpackWARs="true" autoDeploy="true" 
xmlValidation="false" xmlNamespaceAware="false"> 


在 其 后 添加 以 下 语句 : 


<Context path="" docBase="/var/www/html" debug="0"/> 


这 表明 配置 Tomcat 主 目录 为 /Var/www/html/。 
4) 配置 Apache 
编辑 文件 /etc/httpd/conf/httpd.conf， 在 文件 末尾 添加 如 下 内 容 : 


Include /usr/apache-tomcat-6.0.35/conf/jk/mod jk.conf-auto 


5) 重新 启动 Apache 和 Tomcat 
由 于 使 用 mod_jk 连接 器 分 别 修改 了 Apache 和 Tomcat 的 配置 文件 ， 因 此 需要 使 用 以 
下 命令 重新 启动 Apache 和 Tomcat。 


/etc/init.d/httpd restart 
./usr/apache-tomcat-6.0.35/bin/shutdown.sh 
./usr/apache-tomcat-6.0.35/bin/startup.sh 


6) 测试 Apache 和 Tomcat 整合 
在 主 目录 /var/www/html/ 中 建立 一 个 名 为 testjsp 的 文件 ， 该 文件 的 内 容 如 下 : 
Hello! The time is <%= new java.util.Date() %> 


在 客户 端的 浏览 器 中 访问 “http://Linux 服务 器 的 人 P 地 址 /testjsp”， 如 果 出 现 如 图 8-15 
所 示 的 “Hello! The time is 当前 时 间 ” 的 信息 ， 则 表示 Apache 和 Tomcat 整合 成 功 。 


(HOO ee p- 30x|G sms 


Hello! The time is Tue Nar 13 17:34:18 CST 2012 


图 8-15 整合 测试 结果 
8.9 本 章 小 结 


本 章 主要 介绍 了 使 用 Apache 服务 器 软件 架设 Web 服务 器 的 方法 。 先 后 讲述 了 有 关 
HTTP 协议 的 相关 知识 ，Apache 服务 器 的 安装 、 运 行 与 配置 ， 最 后 还 介绍 了 Apache 服务 
器 对 动态 网 页 技术 的 支持 方法 。 作 为 Linux 的 Web 服务 中 最 流行 的 技术 之 一 ， 读 者 应 该 
熟练 掌握 Apache 服务 器 各 种 功能 的 配置 方法 。 
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8.10 课 后 习题 


1. 填空 题 
(1) URI 是 . 的 缩写 。 
(2) Web 服务 通常 可 以 分 为 两 种 : 和 
2. 选择 题 
(1) apache 是 ( 于 
A. 一 种 WEB Server B. 一 种 FTP Server 
C. 一 种 News Server D. 一 种 Mail Server 
(2) CGI 是 ( 天 
A. 一 种 后 端 动态 程序 B. 一 种 ASP 程序 
C. 一 种 PHP 程序 D. 一 种 后 端 程序 接口 
3. 简 答题 


(1) 如 何 启动 、 终 止 、 重 新 启动 和 查看 WWW 服务 ? 
(2) 虚拟 主机 有 哪 两 种 ? 主机 数 有 什么 限制 ? 


4. 操作 题 


(1) 在 Web 服务 器 中 建立 一 个 名 为 temp 的 虚拟 目录 ， 其 对 应 的 物理 路 径 是 
/usr/local/temp， 并 配置 Web 服务 器 允许 该 虚拟 目录 具备 目录 浏览 和 允许 内 容 协商 的 多 重 
视图 特性 。 

(2) 使 用 192.168.1.17 和 192.168.1.18 两 个 IP 地 址 创建 基于 人 P 地 址 的 虚拟 主机 ， 其 
中 IP 地 址 为 192.168.1.17 的 虚拟 主机 对 应 的 主 目录 为 /ust/www/webl，IP 地 址 为 
192.168.1.18 的 虚拟 主机 对 应 的 主 目录 为 /usr/www/web2。 

(3) 让 Web 服务 器 支持 CGI 运 行 环境 。 

(4) 让 Web 服务 器 支持 PHP 运行 环境 。 

(5) 让 Web 服务 器 支持 JSP 运行 环境 。 


FTP 是 互联 网 中 非常 常见 的 一 种 文件 传输 方式 ， 通 过 它 可 以 实 
现 网 络 中 稳定 高 速 的 文件 传输 。 在 Linux 的 各 个 发 行 版 本 中 ， 使 用 
的 FTP 服务 器 软件 有 很 多 ， 例 如 Wu-ftpd、Proftpd 以 及 VsFTPd 
等 。 而 在 目前 Red Hat Linux 的 各 个 发 行 版 本 中 ， 都 是 以 VsFTPd 为 
默认 的 FTP 软件 ， 所 以 在 本 章 中 ， 我 们 将 以 VsFTPd 为 例 介绍 FTP 
服务 的 配置 和 应 用 。 
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9.1 FTP 服务 概述 


FTP(File Transfer Protocol， 文 件 传输 协议 ) 是 基于 TCP/IP 协议 的 服务 ， 用 户 在 网 络 中 
的 文件 传输 与 其 他 协议 (HTTP、SFTP、TFTP 等 ) 相 比 ，FTP 协议 传输 文件 更 加 稳定 、 迅 
速 。 至今 ，FTP 服务 仍然 是 网 络 中 使 用 广泛 的 服务 之 一 。 


9.1.1 FTP 的 工作 原理 


FTP 的 工作 原理 如 图 9-1 所 示 。FTP 服务 器 首先 监听 TCP 的 连接 ， 等 待 客户 端的 下 载 
或 者 上 传 请 求 。 其 控制 连接 和 数据 连接 均 为 TCP 连接 ， 控 制 连接 主要 用 于 传送 用 户 名 、 
密码 以 及 控制 传输 方式 等 信息 ， 而 数据 连接 用 于 传送 文件 数据 。 客 户 端 和 服务 器 都 运行 着 
控制 进程 和 数据 传输 进程 。 


用 户 FE 由 用 户 界面 
控制 进程 eb 控制 进程 


| sa mw 


数据 池 数据 池 
客户 端 服务 器 


9-1 FTP 工作 原理 


当 用 户 需 要 从 服务 器 下 载 文件 时 ， 客 户 端的 控制 进程 会 发 起 一 个 TCP 连接 请 求 ， 服 
务 器 端 监听 进程 接受 到 请 求 后 ， 建 立 控制 连接 ， 此 时 ， 双 方 就 可 以 传输 控制 信息 了 。 为 了 
传输 数据 ， 此 时 双方 还 需要 再 建立 一 个 数据 连接 。 

控制 连接 默认 情况 下 ， 使 用 的 是 服务 器 端的 TCP 端口 号 21， 同 时 ， 客 户 端 还 会 在 控 
制 信息 中 附带 自己 的 一 个 空闲 端口 ， 服 务 器 会 再 使 用 TCP 端口 号 20 与 客户 端 所 提供 的 空 
闲 端口 建立 数据 连接 ， 然 后 开始 传输 数据 。 


[对 提示 : FTP 协议 之 所 以 需要 建立 两 个 连接 ， 是 因为 在 传输 数据 的 过 程 中 ， 双 方 仍然 
需要 传输 控制 数据 ， 为 了 让 两 种 数据 互 不 干扰 ， 就 需要 建立 两 个 TCP 连接 
分 别传 输 两 种 数据 。 


在 客户 端 与 服务 器 传输 数据 的 过 程 汇总 ， 控 制 连接 是 一 直 存 在 的 ， 但 数据 连接 在 传输 


完 一 个 文件 后 就 会 释放 连接 ， 如 果 要 传输 另 一 个 文件 ， 则 需要 重新 创建 一 个 数据 连接 。 这 
一 特性 决定 了 FTP 在 传输 大 量 的 小 文件 时 效果 比较 低 ， 每 传输 一 个 文件 都 需要 创建 和 释 
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放 数 据 连接 ， 而 不 像 有 些 协 议 (例如 Samba)， 可 以 在 一 个 连接 中 将 所 有 的 文件 一 次 传输 
完毕 。 

另外 ，FTP 的 工作 模式 和 其 他 网 络 通信 协议 也 有 很 大 的 不 同 ， 如 使 用 HTTP 协议 传输 
数据 时 ， 只 使 用 一 个 连接 进行 通信 。 


9.1.2 FTP 的 连接 模式 


FTP 的 连接 模式 分 为 POST 模式 (Standard， 也 称 为 主动 模式 ) 和 RASV 模式 (Passive， 
也 称 被 动 模式 ) 两 种 。 在 FIP 服务 器 上 同时 支持 这 两 种 连接 模式 ， 但 具体 使 用 哪 种 模式 与 
FTP 客户 端 有 关 。 


1. POST 模式 


FTP 客户 端 以 POST 模式 连接 FTP 服务 器 时 ， 首 先 使 用 一 个 随机 选择 的 端口 (1024 端 
口 以 下 ) 和 FTP 服务 器 的 21 端口 建立 控制 连接 ， 当 客户 端 需要 接收 数据 时 ， 在 控制 连接 发 
送 POST 命令 。 此 命令 还 包含 了 客户 端 接收 数据 的 端口 号 ， 在 传输 数据 时 ， 服 务 器 通过 
TCP20 端口 与 客户 端 指定 的 端口 发 送 数 据 。 


2. RASV 模式 


FTP 客户 端 使 用 RASV 模式 连接 服务 器 时 ， 建 立 控制 连接 的 过 程 与 POST 模式 类 似 ， 
但 建立 连接 时 使 用 的 是 RASV 命令 ， 而 不 是 POST 命令 。FTP 服务 器 接收 到 RASYV 命令 
后 ， 随 机 打开 一 个 高 数字 的 端口 (大 于 1024)。 并 且 通 知客 户 端 在 这 个 端口 上 传输 数据 的 请 
求 ， 客 户 端 连接 FTP 服务 器 该 端口 ， 然 后 FTP 服务 器 将 通过 这 个 端口 进行 数据 的 传输 。 


去 提示 : 很 多 服务 器 的 防火 墙 为 了 安全 考虑 ， 不 允许 接收 外 部 发 起 的 连接 ， 客 户 端 也 
就 无 法 通过 防火 墙 打 开 服 务 器 的 连接 端口 ， 所 以 很 多 处 于 防火 墙 后 的 FTP 
服务 器 不 支持 RASV 模式 ; 而 许多 内 网 用 户 的 客户 端 因为 服务 器 的 TCP 连 
接 无 法 与 内 部 网 络 的 客户 端 建立 一 个 新 的 连接 ， 也 就 不 能 使 用 POST 模式 登 
录 FTP 服务 器 。 所 以 在 创建 FTP 服务 器 时 要 对 防火 墙 进行 相应 的 配置 ， 以 
保证 FTP 服务 器 的 正常 工作 。 


9.1.3 ”数据 传输 模式 


FTP 在 工作 过 程 中 使 用 了 专用 的 数据 连接 ， 在 传输 文件 数据 时 ，FTP 协议 规范 提供 了 
控制 未 见 传 送 与 存储 的 多 种 选择 ， 包 括 文件 类 型 、 格 式 控制 、 文 件 结构 和 传输 方式 4 个 方 
面 中 所 规定 的 选项 中 确定 一 种 。 

1. 文件 类 型 

FTP 可 选择 的 文件 类 型 有 4 种 : ASCI 码 、EBCDIC 码 、 二 进 制 文件 以 及 本 地 文件 
类 型 。 

1) ASCII 码 

ASCI 码 文件 类 型 也 成 为 文本 类 型 ， 是 FTP 传输 的 默认 选项 。 该 选项 使 文件 数据 以 
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ASCII 码 的 形式 在 数据 连接 中 传输 。 在 传输 数据 前 ， 发 送 方 先 将 本 地 文件 转换 成 ASCII 码 
的 形式 ， 再 发 送 到 网 络 ， 而 接收 方 则 将 从 网 络 中 接收 到 的 ASCII 码 还 原 为 本 地 文件 格式 ， 
再 写 入 硬盘 中 。 

2) EBCDIC 码 

EBCDIC 码 也 成 为 广义 二 进 制 码 或 者 十 进 制 交换 码 。 是 一 种 字母 或 数字 字符 的 二 进 制 
编码 ， 每 个 字母 或 者 数字 都 被 表示 为 一 个 8 位 的 二 进 制 数 。 当 采用 该 选项 传输 时 ， 要 求 两 
端 都 是 EBCDIC 系统 。 

3) 二 进 制 文件 类 型 

二 进 制 文件 类 型 也 称 为 图 像 文 件 类 型 ， 传 输 时 是 连续 的 比特 流 ， 没 有 任何 格式 ， 通 常 
用 于 传输 二 进 制 文件 。 

4) 本 地 文件 类 型 

当 服 务 器 与 客户 端 系统 所 规定 的 字 节 位 数 不 同 时 ， 需 要 使 用 该 选项 。 


2. 格式 控制 


格式 控制 只 作用 于 ASCII 码 和 EBCDIC 码 两 种 文件 类 型 ， 具 有 3 种 选项 ， 非 打印 选 
项 、 远 程 登录 格式 控制 选项 和 Fortran 回 车 控制 选项 。 

1) 非 打 印 选项 

是 默认 选项 ， 表 示 此 文件 中 不 包含 有 垂直 格式 信息 。 

2) 远程 登录 格式 控制 选项 

表示 文件 中 含有 向 打印 机 解释 的 远程 登录 垂直 格式 控制 符 。 

3) Fortran 回 车 控制 选项 

表示 每 行 首 字 符 都 是 Fortran 格式 控制 符 。 


3. 数据 结构 


数据 结构 也 有 3 个 选项 : 文件 结构 、 记 录 结 构 和 页 结构 。 

1) 文件 结构 

为 默认 选项 ， 认 为 数据 是 一 个 连续 的 字 节 流 ， 不 存在 其 他 结构 。 

2) 记录 结构 

该 选项 只 用 于 文本 文件 ， 认 为 数据 是 由 一 条 记录 组 成 的 。 

3) 页 结构 

页 结构 在 发 送 数据 时 规定 包含 页 号 ， 以 便 接 收 方 能 随机 地 存储 各 页 。 


4. 传输 方式 


传输 方式 一 共有 3 种 选项 : 流 方式 、 块 方式 和 压缩 方式 。 

1) 流 方式 

流 方式 是 默认 的 方式 ， 此 方式 规定 文件 将 以 字 节 流 的 形式 传输 。 对 于 文件 结构 ， 发 送 
方 在 文件 结束 处 提示 关闭 数据 连接 。 对 于 使 用 记录 结构 的 传输 ， 有 专用 的 两 个 字 节 序列 码 
标志 记录 结束 和 文件 结束 。 

2) 块 方式 

文件 将 作为 一 些 列 的 块 来 传输 ， 每 一 个 块 的 前 面 都 带 有 一 个 或 者 多 个 首部 字 节 。 
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3) 压缩 方式 

该 方式 用 一 个 简单 的 全 长 编码 压缩 方式 ， 压 缩 连续 出 现 的 相同 字 节 ， 再 发 送 。 由 于 发 
送 方 可 以 使 用 更 好 的 方法 实现 压缩 文件 ， 因 此 此 方式 已 经 很 少 使 用 。 
对 于 以 上 4 个 方面 的 各 个 选项 ，FTP 的 连接 双方 必须 在 数据 传输 前 都 事先 确定 。 虽 然 
FTP 提供 了 如 此 丰富 的 选择 方式 ， 但 由 于 操作 系统 和 软件 的 局 限 性 ， 很 多 方式 现在 已 经 废 
弃 不 用 了 ， 为 了 系统 兼容 性 和 稳定 性 的 考虑 ， 当 今 主流 的 Windows 和 Linux 操作 系统 平 
台 的 FTP 客户 端 和 服务 器 对 上 述 的 选项 进行 如 下 的 限制 : 

@ ”文件 类 型 :只 允许 ASCII 码 或 者 二 进 制 文件 类 型 。 

e@ ”格式 控制 只 允许 非 打印 选项 。 

@ ”数据 结构 ， 只 允许 文件 结构 。 

@ “传输 方式 ， 只 人 允许 流 方式 。 

也 就 是 说 ， 在 实际 的 使 用 中 ， 只 会 涉及 ASCII 码 和 二 进 制 文件 类 型 两 种 选择 ， 其 他 的 
选项 都 已 经 使 用 了 默认 选项 ， 不 用 修改 。 


9.1.4 ”FTP 的 控制 命令 


当 客 户 端 与 服务 器 建立 控制 连接 后 ， 客 户 端 的 控制 进程 就 可 以 通过 该 连接 向 服务 器 发 
送 控制 指令 了 。 服 务 器 端的 监听 进程 随时 都 可 以 接收 客户 端 发 送 的 请 求 ， 然 后 根据 指令 的 
内 容 作 出 相应 的 工作 ， 再 将 结果 反馈 给 客户 端 。 

控制 指令 以 ASCII 码 字符 的 形式 传输 ， 每 个 指令 由 3 一 $ 个 大 写 的 ASCII 字符 组 成 ， 
一 些 指令 后 面 还 可 以 附带 参数 ， 指 令 和 参数 之 间 以 空格 分 开 ， 并 以 一 对 回 车 和 换行 符 
(CR/LF) 作 为 指令 的 结束 标志 ，FTP 中 常见 的 控制 命令 如 表 9-1 所 示 。 


表 9-1 FTP 常用 指令 及 其 含义 


指 令 参 数 含义 

ABOR 无 要 求 服务 器 终止 一 次 FTP 服务 命令 及 所 有 相关 的 数据 传输 

ALLO N 要 求 服务 器 保留 n 个 字 节 的 存储 空间 用 于 存放 将 要 传输 的 文件 

A 交往 交 要 求 服务 器 准备 接收 一 个 文件 ， 如 果 同样 的 文件 在 服务 中 已 存在 ， 则 追加 到 
此 文件 之 后 

CDUP 无 返回 服务 器 当前 目录 的 上 级 目录 

CWD 路 径 把 服务 器 上 指定 的 路 径 变 为 当前 目录 


DELE 文件 名 删除 服务 器 上 的 指定 文件 

HELP 指令 名 返回 指定 指令 的 帮助 信息 ， 如 果 未 指定 指令 名 ， 则 返回 所 有 指令 的 帮助 信息 
要 求 服务 器 返回 其 指定 路 径 下 的 所 有 文件 及 目录 ， 如 果 没 有 指定 路 径 ， 则 返 
回 当前 目录 下 的 所 有 文件 和 目录 

MKD 路 径 名 要 求 服务 器 在 指定 路 径 上 创建 目录 

MODE S、B、C | 设置 服务 器 传输 方式 ，S 为 流 方式 ，B 为 块 方式 ，C 为 压缩 方式 

要 求 服务 器 返回 其 指定 路 径 下 的 所 有 目录 ， 如 果 没 有 指定 路 径 ， 则 返回 当前 
目录 下 的 所 有 目录 
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续 表 
指 令 参 数 省 多 
空 操作 ， 有 些 FTP 服务 器 设置 了 空闲 断 开 的 功能 ， 如 果 客 户 端 长 时 间 不 发 


WO | 私 送 任何 数据 ， 服 务 器 将 主动 断 开 控制 和 传输 连接 ， 发 送 指令 可 以 维持 连接 
pASS | 密码 向 服务 器 发 送 要 求 登录 的 用 户 名 和 密码 

pAsSV | 无 告诉 服务 器 在 一 个 非 标准 接口 上 监听 客户 端的 数据 连接 

POST | 6 个 数字 | 为 数据 连接 指定 一 个 客户 端的 地 地 址 和 端口 

pwD | 无 返回 当前 工作 目录 的 名 称 

aur | 无 释放 控制 连接 

REST |n 指定 一 个 文件 起 始 位 置 的 偏 移 值 ， 从 此 偏 移 值 开始 传输 文件 


RETR. 文件 名 从 服务 器 复制 一 个 指定 的 文件 到 客户 端 

RMD 路 径 名 在 服务 器 上 删除 指定 目录 

RNFR 文件 名 指定 要 重 命 名 的 文件 ， 后 面 应 该 紧 跟 RNTO 命令 

RNTO 文件 名 把 RNFR 指定 的 文件 改 为 该 文件 名 

STAT 目录 名 要 求 服务 器 以 应 答 形式 发 送 状 态 

STOR 文件 名 要 求 服务 器 接收 指定 的 文件 ， 如 果 服 务 器 上 有 同名 的 文件 ， 则 直接 材 盖 
STOU 文件 名 要 求 服务 器 接收 指定 的 文件 ， 如 果 服 务 器 上 有 同名 的 文件 ， 则 报错 

SYST 如 要 求 服务 器 发 送 其 操作 系统 类 型 

TYPE A、E、I_| 确定 数据 传输 方式 。A 为 ASCII 码 方式 ，E 为 EBCDIC 方式 、I 为 二 进 制 方式 
USER 用 户 名 指定 登录 服务 器 的 用 户 名 


[对 提示 : ”此 处 我 们 介绍 的 控制 指令 属于 协议 级 的 指令 ， 与 稍 后 介绍 的 用 户 使 用 FTP 
客户 端 时 输入 的 命令 并 不 一 样 ， 但 很 多 用 户 命令 确实 是 由 控制 指令 而 来 的 。 


9.1.5 ”FTP 的 匿名 访问 


从 操作 的 安全 性 来 考虑 ， 所 有 对 服务 器 的 访问 都 应 该 经 过 授权 后 才能 进行 ， 很 多 服务 
和 协议 也 是 这 么 做 的 (例如 ， 数 据 库 访 问 、 邮 件 服务 )。FTP 服务 同样 具有 这 样 的 功能 ， 在 
FTP 客户 端 与 服务 器 建立 控制 连接 后 ， 要 先 提供 USER 和 PASS 指令 才能 登录 ， 然 后 服务 
器 才 会 接受 其 他 命令 。 登 录 FTP 服务 器 的 命令 格式 为 : 


ftp:// 用 户 名 :密码 8 服务 器 名 或 者 IP 地 址 


但 是 ， 为 了 网 络 共享 的 考虑 ，FTP 服务 的 提供 者 可 能 希望 对 互联 网 的 所 有 用 户 都 提供 
某 些 文档 或 者 程序 的 下 载 功能 ， 也 就 是 说 ，FTP 的 内 容 希望 是 公开 的 ， 此 时 ， 每 个 用 户 都 
必须 获得 用 户 账号 才能 登录 FTP 服务 器 就 显得 有 些 多 余 ， 而 且 FTP 协议 已 经 提供 了 访问 
权限 的 控制 功能 ， 可 以 很 好 地 对 用 户 的 访问 进行 规范 。 综 合 上 面 的 条 件 ，FIP 协议 又 规定 
了 一 种 匿名 账号 的 机 制 ， 用 户 可 以 使 用 一 个 通用 的 账号 来 登录 系统 ， 然 后 就 可 以 发 送 FIP 
指令 对 服务 器 进行 操作 。 当 热 ， 为 了 安全 考虑 ， 这 个 匿名 账号 的 权限 一 般 都 是 有 限 的 ， 一 
般 只 能 做 到 列 出 目录 、 下 载 文件 等 读 取 的 操作 。 当 然 ， 并 不 是 所 有 的 FIP 服务 器 都 必须 
支持 匿名 账号 ， 这 些 功能 都 是 由 服务 器 管理 员 根据 需要 配置 的 。 
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根据 FTP 协议 的 规定 ， 匿 名 账号 的 用 户 名 统一 为 anonymous， 密 码 要 求 是 一 个 Email 
地 址 ， 但 在 大 部 分 情况 下 ， 密 码 可 以 是 任意 字符 串 。 

可 以 说 ， 匿 名 账号 的 引入 大 大 方便 了 用 户 访问 FTP 服务 器 ， 这 是 FTP 服务 能 够 在 互 
联网 上 使 用 如 此 广泛 的 重要 原因 之 一 。 


9.2 VsFTPd 的 安装 与 运行 


VsFTPd(Very Secure FTP Daemon) 是 一 种 遵循 GPL 协议 的 开源 FTP 服务 器 软件 ， 具 
有 安全 、 快 速 、 稳 定 的 特点 ， 可 以 在 UNIX 和 Linux 系统 下 运行 。 下 面 我 们 先 介绍 它 的 主 
要 特性 ， 然 后 介绍 安装 与 运行 。 


9.2.1 VsFTPd 的 主要 特性 


VsFTPd 作为 一 个 高 度 安全 的 FTP 服务 器 软件 ， 加 之 其 完善 的 功能 和 突出 的 性 能 ， 主 
要 具有 以 下 特点 : 
@ ”运行 稳定 。VsFTPd 可 以 在 单机 上 支持 4000 个 以 上 的 并 发 用 户 同时 连接 。 
支持 基于 IP 的 虚拟 FTP 服务 器 。 
支持 虚拟 用 户 。 
支持 PAM 或 者 xinetd_tcp_wrappers 的 认证 方式 。 
支持 两 种 运行 方式 : PAP 与 xinetd。 
支持 每 个 虚拟 用 户 具 有 独立 的 配置 。 
支持 带宽 限制 。 


9.2.2 VsFTPd 的 安装 


VsFTPd 的 安装 有 两 种 方式 ;一 种 是 通过 RPM 软件 包 的 方式 ， 这 种 安装 方法 比较 简 
单 ， 推 荐 使 用 这 种 安装 方法 ， 另 一 种 是 通过 编译 源 代 码 进行 安装 。 
1. 使 用 RPM 软件 包 安 装 


首先 我 们 要 将 RPM 软件 包 从 操作 系统 的 安装 光盘 复制 到 硬盘 中 ， 在 CentOS 5.5 的 安 
装 光盘 中 ，VsFTPd 软件 包 的 位 置 在 /CnetOS/vsftpd-2.0.5-16.el5 4.1.1386.rppm， 复 制 文件 
后 ， 运 行 以 下 的 命令 进行 安装 。 

[root@CentOs ~]# rpm -ivh vsftpd-2.0.5-16.e15 4.1.i386.rpm 

安装 成 功 后 ， 添 加 的 重要 文件 及 位 置 如 下 : 

@ /usr/sbin/vsftpd: vsFTPd 服务 器 的 进程 文件 。 
/etc/vsftpd vsftpd.conf: vsFTPd 服务 器 的 配置 文件 。 
/etc/pam.d/vsftpd: VsFTPd 服务 器 认证 本 地 用 户 的 PAM 接口 配置 文件 。 
/usr/share/doc/vsftpd-2.0.5: 帮助 和 说 明文 档 存放 的 目录 。 
/usr/share/man: vsFTPd 帮助 文件 安装 位 置 。 
/varftp: vsFTPd 服务 器 匿名 用 户 的 工作 目录 。 
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2. 使 用 源 代码 安装 方式 

VsFTPd 的 源 代码 可 以 从 网 站 获取 ， 下 载 的 网 址 为 ftp://vsftpd.beasts.org/ 
users/cevans/， 我 们 需要 下 载 打 包 文件 ， 其 后 级 为 “.tar.gz”， 然 后 将 文件 下 载 到 当前 目 
录 ， 下 面 我 们 以 vsftpd-2.3.1.tar.gz 为 例 介 绍 源 代码 的 安装 过 程 。 


[root@CentOs ~]# rpm -q vsftpd # 查 看 是 否 已 经 安装 vsFTPd 
vsftpd-2.0.5-16-6e15 4.1 


[root@CentOs ~]# rpm -e vsftpd-2.0.5-16.e15 4.1  # 先 卸载 已 经 安装 的 vsFTPd 
[root@CentOs ~]# tar -xvzf vsftpd-2.3.1.tar.gz # 解 压 源码 包 


[root@CentoOs ~]# cd vsftpd-2.3.1 


[root@CentOs vsftpd-2.3.1]# make # 编 辑 源码 

[root@CentOs vsftpd-2.3.1]# make install # 开 始 安装 

# 安 装 完成 后 ， 用 户 还 需要 手动 将 配置 文件 复制 到 指定 位 置 

[root@CentOs ~]# cp ./vsftpd.conf /etc # 复 制 配 置 文件 到 /etc 目录 
[root@CentOs ~]# mkdir /var/ftp # 手 动 创建 ftp 匿名 访问 目录 


[root@CentOs ~]# mkdir /var/ftp/pub 


9.2.3 VsFTPd 的 运行 
安装 完成 后 ， 我 们 可 以 输入 以 下 的 命令 来 启动 vsFTPd 进程 。 


[root@CentoOs /]# /usr/sbin/vsftpd 


此 条 命令 可 以 放 到 /etc/rc.local 文件 中 作为 开机 启动 选项 。 
启动 vsFTPd 进程 后 ， 我 们 可 以 使 用 ps 命令 来 查看 进程 是 否 已 经 正常 运行 ， 如 下 所 示 : 


[root@Centos /]# ps -eaf | grep vsftpd 
root 8858 1 0 10:39 ? 00:00:00 /usr/sbin/vsftpd 
root 8873 4605 0 10:39 pts/0 00:00:00 grep vsftpd 


再 使 用 netstat 命令 来 查看 服务 器 的 21 端口 是 否 已 经 处 于 监听 状态 。 


[rootQeCentOS /]# netstat -tnl | grep :21 
七 cp 0 0 0.0.0.0:21 G0.0.0s* LISTEN 


最 后 ， 我 们 可 以 在 本 机 上 对 FTP 进行 简单 的 测试 ， 查 看 其 功能 是 否 正常 ， 如 下 所 示 : 


[root@Centos /]# ftp 127.0.0.1 

Connected to 127.0.0.1. 

220 (vsFTPd 2.0.5) 

530 Please login with USER and PASS. 

530 Please login with USER and PASS. 
KERBEROS V4 rejected as an authentication type 
Name (127.0.0.1:root): anonymous 

331 Please specify the password. 

Password: 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp> 1s 

227 Entering Passive Mode (127,0,0,1,114,1) 
150 Here comes the directory listing. 
GIrwxr-xr-x 20 0 4096 Dec 16 2009 pub 
226 Directory send OK. 
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ftp> bye 
221 Goodbye. 


从 上 面 的 过 程 我 们 可 以 看 出 ，VsFTPd 已 经 能 够 正常 的 登录 和 退出 了 。 
9.3 VsFTPd 服务 器 的 配置 


VsFTPd 的 服务 器 配置 主要 包括 vsftpd.conf 的 配置 、 匿 名 用 户 的 配置 、 虚 拟 主机 的 配 
置 和 虚拟 用 户 的 配置 。 


9.3.1 vsftpd.conf 的 配置 


VsFTPd 服务 的 主要 功能 都 是 通过 配置 文件 vsftpd.conf 来 设置 的 ， 配 置 文件 中 以 “ 选 
项 名 = 值 ”的 形式 对 某 一 选项 进行 设置 ， 如 果 选 项 中 没有 进行 设置 ， 那 么 服务 器 将 采用 默 
认 值 。 


# Example config file /etc/vsftpd/vsftpd.conf 


anonymous_enable=YES # 人 允许 匿名 用 户 登 录 FTP 

local enable=YES # 人 允许 本 地 用 户 登 录 FTP 

write enable=YES # 人 允许 写 入 操作 的 FTP 控制 命令 ， 如 STOR、DELE 等 。 
local umask=022 # 设 定 文件 初始 权限 值 


#anon_ upload enable=YES 
#anon mkdir write enable=YES 


dirmessage enable=YES # 发 送 欢 迎 信息 
xferlog enable=YES # 开 启 日 志 
connect from port 20=YES # 设 定 20 端口 为 数据 连接 端口 


#chown uploads=YES 

#chown_username=whoever 

#xferlog file=/var/1log/xferlog 

xferlog std format=YES # 设 定 日 志 的 格式 
#idle session timeout=600 

#data_ connection timeout=120 

#nopriv user=ftpsecure 

#async_abor enable=YES 

#ascii_ upload enable=YES 

#ascii download enable=YES 

#ftpd banner=Welcome to blah FTP service. 
#deny_email enable=YES 

#banned email file=/etc/vsftpd/banned emails 
#chroot list enable=YES 

#chroot list file=/etc/vsftpd/chroot list 
#1s_recurse enable=YES 


listen=YES # 开 启 端口 监听 

#1listen ipv6=YES 

pam service name=vs ftpd # 设 定 pam 服务 配置 文件 名 

userlist enable=YES # 开 启用 户 列表 

tcp_wrappers=YES # 连 接 请 求 由 tcp_wrappers 完成 访问 控制 


下 面 我 们 对 这 些 设置 的 功能 进行 详细 的 介绍 。 
1) anonymous enable=YES 
此 项 为 开启 FTP 服务 器 的 匿名 访问 功能 ， 虽 然 匿名 访问 使 FTP 更 容易 传播 和 推广 ， 
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但 也 带 来 很 大 的 安全 隐患 ， 如 果 开 启 此 项 ， 那 么 需要 在 防火 墙 配置 、 服 务 器 配置 和 FTP 
配置 等 多 方面 采取 措施 来 保证 服务 器 的 安全 。 对 于 只 提供 给 特定 用 户 、 或 者 是 私有 的 
FTP， 一 般 不 开启 此 服务 ， 将 其 值 设 置 为 “NO”。 

2) local enable=YES 

此 项 为 开启 本 地 账号 登录 FIP 服务 器 ， 本 地 账号 包括 操作 系统 账号 和 虚拟 账号 ( 稍 后 
介绍 )。 但 是 ， 开 启 此 项 也 并 不 意味 着 本 地 用 户 肯定 能 够 登录 ， 这 还 取决 于 PAM 和 虚拟 账 
号 等 的 正确 配置 。 

3) write _ enable=YES 

此 项 允许 服务 器 接收 与 写 有 关 的 控制 指令 ， 包 括 STOR、DELE、RNFR、RNTO、 
MKD、RMD、APPE、SITE 指令 。 

4) local umask=022 

设置 本 地 用 户 创建 新 的 文件 时 的 默认 权限 值 ， 实 际 上 ，“022” 是 一 个 八进制 数 ， 表 
示 初 始 的 权限 值 是 创建 者 的 全 部 权限 ， 而 其 他 用 户 只 有 读 取 和 执行 的 权限 。 另 外 ， 
local umask 的 值 还 可 以 设 为 “077”， 表 示 创 建 者 拥有 全 部 权限 ， 其 他 用 户 没 有 权限 。 

5) anon upload enable=YES 和 anon mkdir write enable=YES 

这 两 个 选项 是 开启 服务 器 允许 匿名 用 户 上 传 文件 和 创建 目录 的 权限 。 如 果 要 真正 允许 
用 户 写 入 ， 还 需要 将 write_enable 选项 也 设置 为 “YES”。 但 是 开启 这 两 个 选项 会 给 服务 
器 的 安全 带 来 很 大 的 风险 ， 一 般 都 设置 为 “NO”， 默 认 值 也 是 “NO”。 

6) dirmessage_enable=YES 

此 项 表示 用 户 第 一 次 登录 新 目录 时 ， 会 发 送 给 用 户 一 些 提示 信息 ， 这 些 信 息 默 认 存放 
在 该 目录 的 .message 文件 中 ， 但 可 以 通过 message_file 选项 进行 更 改 。 

7) xferlog enable=YES、xferlog file=/var/log/xferlog 和 xferlog std format=YES 

这 是 一 组 相关 的 配置 ， 用 来 启用 VsFTPd 的 日 志 功 能 ， 将 日 志 路 径 及 文件 名 设置 为 
/var/log/xferlog， 采 用 与 其 他 FTP 服务 器 兼容 的 格式 。VsFTPd 的 日 志 详 细 记 录 了 用 户 的 登 
录 、 上 传 、 下 载 和 退出 等 操作 信息 ， 日 志 格式 由 xferlog_std_format 选项 决定 ， 默 认 值 为 
“NO”， 将 使 用 VsFTPd 独 有 的 可 读 性 更 好 的 格式 。 

8) connect from port 20=YES 

此 选项 规定 FTP 服务 器 采用 主动 模式 与 客户 端 建立 连接 的 时 候 是 否 将 端口 固定 为 
20， 这 主要 是 为 了 配合 客户 端的 设置 。 此 项 的 默认 值 为 “NO”， 表 示 VsFTPd 可 以 使 用 
1024 以 上 的 端口 来 建立 连接 。 

9) chown_uploads=YES 和 #chown username=whoever 

这 是 一 组 先 关 的 选项 ， 表 示 所 有 匿名 用 户 上 传 的 文件 其 所 有 者 将 都 设置 为 whoever， 
这 样 设置 主要 是 为 了 安全 考虑 ， 即 匿名 用 户 默认 只 能 访问 使 用 匿名 账号 上 传 的 文件 。 

10) idle_session_tmeout=-600 

此 选项 设置 控制 连接 超时 的 时 间 ， 单 位 为 秒 ， 当 客户 端 不 发 送 任何 交互 指令 超过 600 
秒 时 ， 服 务 器 将 主动 断 开 与 其 的 控制 连接 ， 这 样 主要 是 为 了 减轻 服务 器 的 负担 ， 释 放 更 多 
的 空间 资源 给 正在 使 用 的 客户 端 。 不 过 ， 在 前 面 的 “FTP 控制 指令 ”小 节 中 我 们 介绍 过 ， 
客户 端 也 可 以 通过 发 送 空 操作 “NOOP” 来 维持 控制 连接 。 
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11) data_connection timeout=120 

此 项 设置 数据 连接 的 超时 时 间 ， 单 位 为 妙 ， 如 果 客 户 端 在 建立 连接 后 120 秒 没有 请 求 
或 者 上 传 任何 数据 ， 那 么 服务 器 将 主动 断 开 数 据 连接 。 

12) nopriv_user=ftpsecure 

此 选项 给 出 了 当 VsFTPd 处 于 非特 权 模式 运行 时 ， 所 使 用 的 用 户 身份 ， 此 选项 的 默认 
值 为 “nobody”。 处 于 安全 考虑 ， 管 理 员 可 以 将 VsFTPd 设置 为 非特 权 模式 运行 ， 此 时 
VsFTPd 进程 就 需要 一 个 用 户 身份 来 运行 ， 但 “nobody” 用 户 被 很 多 其 他 Linux 软件 使 
用 ， 所 以 需要 管理 员 单独 为 VsFTPd 创建 一 个 用 户 ， 此 处 为 “ftpsecure”。 

13) async abor enable=YES 

此 选项 设置 FTP 服务 器 是 否 接受 async ABOR 指令 。 开 启 此 选项 会 给 服务 器 带 来 安全 
风险 ， 所 以 默认 值 为 “NO”， 但 有 些 FTP 客户 端 会 需要 支持 此 指令 ， 否 则 客户 端 将 无 法 
正常 使 用 。 

14) ascii upload enable=YES 和 ascii download enable=YES 

这 两 个 选项 设置 服务 器 是 否 允许 ASCII 码 模式 ， 当 FTP 服务 器 使 用 ASCII 传输 模式 
时 ， 容 易 受 到 DOS 攻击 ， 为 了 避免 攻击 ， 可 以 将 这 两 个 选项 设置 为 “NO”，VsFTPd 会 
发 送 给 客户 端 允 许 ASCII 模式 ， 但 实际 上 使 用 的 是 二 进 制 模式 。 

15) ftpd_banner=Welcome to blah FTP service 

此 选项 设置 当 用 户 登录 时 ， 显 示 的 欢迎 信息 。 此 选项 的 默认 值 是 显示 VsFTPd 服务 器 
的 名 称 和 版 本 信息 ， 这 给 黑客 和 攻击 者 提供 了 有 价值 的 信息 ， 所 以 一 般 情况 下 我 们 需要 使 
用 该 选项 ， 将 欢迎 信息 设置 为 其 他 内 容 ， 如 果 希 望 显示 的 文本 内 容 较 多 ， 还 可 以 将 所 有 需 
要 显示 的 内 容 放 入 一 个 文件 中 ， 再 使 用 banner file 选项 来 指定 这 个 文件 。 

16) chroot list_enable=YES 和 chroot list_file=/etc/vsftpd/chroot list 

这 两 个 选项 用 来 打开 并 指定 用 户 列 表 功 能 。 当 chroot local_user 选项 设 为 “NO” 时 ， 
这 些 用 户 登 录 FTP 后 所 看 到 的 根 目录 即 为 自己 的 个 人 目录 ， 并 且 也 不 能 切换 到 其 他 目 
录 ， 这 样 做 可 以 保证 服务 器 的 安全 ， 用 户 无 法 查看 服务 器 的 主机 文件 系统 。 当 
chroot local user 设置 为 “YES” 时 ， 上 述 两 个 选项 设置 的 用 户 列表 中 的 用 户 不 会 被 限制 
在 个 人 目录 中 ， 可 以 查看 服务 器 中 的 其 他 目录 ， 而 不 在 这 个 列表 中 的 用 户 将 会 被 限制 在 个 
人 目录 中 。 

17) ls_recurse_enable=YES 

此 选项 设置 客户 端 在 发 送 1s 命令 时 是 否 可 以 附带 “-R” 选 项 。 因 为 “-R” 选 项 会 列 
出 整个 目录 及 其 子 目 录 中 的 所 有 文件 ， 当 文件 和 目录 层次 较 多 时 将 耗费 大 量 的 服务 器 资 
源 ， 如 果 恶 意 用 户 利用 这 个 漏洞 ， 将 造成 DOS 攻击 ， 因 此 ，VsFTPd 此 项 的 默认 值 是 
“NO” 。 

18) listen=YES 和 listen ipv6=YES 

这 两 个 选项 使 VsFTPd 将 以 独立 的 方式 运行 ， 前 者 监听 IPv4 端口 ， 后 者 用 来 监听 
JPv6 端口 ， 但 两 者 不 能 在 同一 个 配置 文件 中 设置 。 除 了 独立 运行 方式 外 ，VsFTPd 还 可 以 
使 用 inetd 方式 ， 它 对 网 络 的 安全 有 更 多 的 控制 。 

19) anon max rate、 local max rate、 max clients 和 max per ip 


这 4 个 选项 用 来 对 用 户 的 速率 和 连接 数 做 出 限制 。 虽 然 没 有 在 默认 的 vsftpd.conf 配置 
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中 给 出 ， 但 是 在 实际 使 用 中 绝 大 多 数 管理 员 都 会 使 用 ， 因 为 服务 器 的 资源 总 是 有 限 的 ， 如 
果 不 对 客户 的 行为 做 出 限制 ， 很 容易 会 造成 网 络 或 者 主机 的 瘫痪 。 

anon max rate 选项 用 来 设置 匿名 用 户 访问 的 最 大 速率 ， 单 位 为 bs， 如 果 设 置 为 0， 
则 表示 无 限制 。 

local max rate 选项 是 设置 本 地 用 户 访问 的 最 大 速率 ， 和 anon_ max rate 选项 的 使 用 方 
法 类 似 。 

max_clients 选项 用 来 限制 VsFTPd 的 最 大 客户 端 连接 数 ， 如 果 设 置 为 0， 则 表示 无 
限制 。 

max_per_ip 选项 用 来 限制 每 个 了 P 的 最 大 连接 数 ， 如 果 设 置 为 0， 则 表示 无 限制 。 


9.3.2 匿名 用 户 的 配置 


在 某 些 情况 下 ，FTP 服务 器 管理 员 为 了 方便 用 户 的 使 用 ， 会 开通 匿名 账号 ， 但 是 支持 
匿名 账号 又 会 带 来 很 多 安全 问题 ， 如 果 配 置 不 当 ， 很 容易 造成 主机 信息 的 泄露 ， 或 者 遭 到 
黑客 的 攻击 。 因 此 ，VsFTPd 提供 了 很 多 有 关 匿 名 账号 的 设置 功能 用 来 管理 匿名 账号 。 下 
面 ， 我 们 通过 一 个 简单 的 实例 来 讲述 如 何 配置 匿名 账户 。 

在 配置 匿名 账号 的 过 程 中 ， 我 们 要 达到 以 下 的 目的 : 

e@ 支持 匿名 账户 访问 。 

e@ 匿名 账号 登录 FIP 后 进入 /var/ftp/pub 目录 ， 并 且 将 此 目录 限定 为 匿名 账号 的 根 

目录 。 

e@ ”匿名 用 户 可 以 将 文件 上 传 到 /var/ftp/pub/upload 目录 ， 但 不 能 下 载 或 者 删除 该 目录 

中 的 内 容 。 
e@ ”匿名 账号 使 用 aaa@( 这 是 匿名 账号 的 默认 登录 密码 ) 作 为 密码 登录 时 将 被 拒绝 ， 
这 主要 是 为 了 防止 恶意 的 登录 攻击 。 

设置 匿名 账号 的 具体 操作 步骤 如 下 ; 

1) 设置 匿名 账号 权限 

打开 vsftpd.conf 文件 ， 设 置 或 者 添加 以 下 选项 : 


anonymous_enable=YES # 人 允许 匿名 用 户 登 录 FTP 

anon world readable only=NO # 开 放 匿 名 账号 的 写 权 限 

anon root=/var/ftp/pub # 设 置 匿 名 账号 根 目录 
anon_upload_enable=YES # 开 启 上 传 权 限 

chown_uploads=YES # 上 传 文件 所 有 者 为 root， 而 不 是 匿名 账户 
2) 创建 上 传 目 录 


[root@Centos /]# mkdir /var/ftp/pub/upload 
[root@Centos /]# ftp /var/ftp/pub/upload 


3) 禁止 默认 登录 密码 
在 vsftpd.conf 中 加 入 以 下 的 选项 。 


deny email enable=YES # 开 启 阻止 邮箱 登录 功能 
banned email file=/etc/vsftpd/banned email # 设 置 密码 登录 阻止 列表 文件 位 置 


然后 在 /etc/vsftpd 目录 中 创建 banned_email 文件 ， 并 输入 以 下 的 内 容 。 
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aaal@ 


4) 重启 FTP 服务 
使 用 kill 命令 重启 VsFTPd 进程 ， 使 设置 生效 。 


[root@CentoOs /]# kill -HUP vsftpd 


以 上 的 步骤 完成 后 ， 我 们 可 以 登录 FTP 进行 测试 。 测 试 内 容 如 下 : 


C:\Users\Administrator>ftp 192.168.111.133 # 连 接 FTP 


连接 到 192.168.111.133。 
220 (vsFTPd 2.0.5) 


用 户 (192.168.111.133: (none) ) : anonymous # 匿 名 登录 
331 Please specify the password. 

密码 : # 输 入 aaa@ 

530 Login incorrect. 

登录 失败 。 

ftp> user anonymous # 再 次 匿名 登录 
331 Please specify the password. 

密码 : # 输 入 任意 字符 

230 Login successful . 

ftp> 1s -1 # 查 看 根 目录 内 容 


200 PORT command successful. Consider using PASV. 
150 Here comes the directory listing. 


10 0 0 Feb 21 02:14 ftpfilel 
1 0 0 0 Feb 21 02:14 ftpfile2 
Grwxr-xr-x 多 :者 0 4096 Feb 21 02:24 upload226 Directory 


send OK. 
226 Directory send OK. 
ftp: 收 到 132 字 节 ， 用 时 0.00 秒 132000.00 千 字 节 / 秒 。 


ftp> pwd # 查 看 目录 位 置 
5 
ftp> get ftpfilel # 试 图 下 载 文件 ftpfilel 


200 PORT command successful. Consider using PASV. 
550 Failed to open file. 

ftp> cd upload # 进 入 upload 目录 
250 Directory successfully changed. 

a ee 

200 PORT command successful. Consider using PASV. 
150 Here comes the directory listing. 

226 Directory send OK. 

ftp> put upfile.txt # 上 传 文件 
200 PORT command successful. Consider using PASV. 
150 Ok to send data. 


226 File receive OK. # 上 传 成 功 
ftp: 发 送 118 字 节 ， 用 时 0.00 秒 151000.00 千 字 节 / 秒 。 
ftp> 1s -1 查看 上 传 文件 权限 


200 PORT command successful. Consider using PASV. 

150 Here comes the directory listing. 

= 10 0 18 Feb 21 02:32 upfile.txt 
226 Directory send OK. 


ftp: 收 到 68 字 节 ， 用 时 0.00 秒 68000.00 千 字 节 / 秒 。 


ftp> get main.c ## 试 图 下 载 上 传 的 文件 
200 PORT command successful. Consider using PASV. 
550 Failed to open file. # 下 载 失败 


ftp> rm main.c # 试 图 删除 上 传 文件 
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550 Permission denied. ## 删 除 失败 
ftp> 


9.3.3 ”虚拟 主机 的 配置 


在 VsFTPd 中 ， 虚 拟 主机 是 指 在 一 台 服 务 器 中 配置 多 个 VsFTPd 服务 ,每 个 VsFTPd 
服务 都 可 以 采用 不 同 的 配置 ， 以 适应 不 同类 型 的 用 户 ， 而 且 从 客户 端 来 看 ， 这 些 FTP 服 
务 器 是 在 不 同 主机 上 运行 的 。VsFTPd 虚拟 主机 的 原理 是 将 每 个 VsFTPd 服务 绑 定 在 不 同 
的 他 地 址 上 。 

VsFTPd 的 一 个 典型 应 用 是 基于 多 网 卡 的 服务 器 ， 例 如 ， 一 个 服务 器 同时 拥有 一 块 网 
卡 连接 外 网 ， 另 一 块 网 卡 连接 内 网 ， 此 时 ， 就 可 以 在 两 块 网 卡 上 运行 不 同 配置 的 VsFTPd 
服务 。 当 内 网 用 户 访问 VsFTPd 服务 时 可 以 获得 较 多 的 权限 ; 而 当 外 网 用 户 访问 VsFTPd 
服务 时 ， 将 受到 很 多 限制 ， 而 这 两 个 FTP 服务 又 可 以 共享 部 分 文件 系统 。 

除了 多 网 卡 的 应 用 ，VsFTPd 虚拟 主机 也 可 以 在 一 块 网 卡 的 服务 器 中 使 用 ， 此 时 管理 
员 需 要 在 网 卡 上 配置 子 接口 ， 得 到 一 块 逻辑 网 卡 ， 而 不 同 的 逻辑 网 卡 可 以 设置 不 同 的 人 P 
地 址 。 这 样 ， 我 们 也 可 以 达到 在 一 个 网 卡 上 运行 多 个 VsFTPd 服务 的 目的 。 

下 面 ， 我 们 将 以 添加 逻辑 网 卡 的 方式 讲述 创建 虚拟 主机 的 过 程 。 

(1) 创建 虚拟 网 卡 。 

使 用 root 用 户 登 录 Linux， 查 看 当前 网 卡 的 人 P 设置 情况 。 并 创建 一 个 新 的 虚拟 网 卡 ， 
设置 的 命令 如 下 : 


[root@CentOs /]# ifconfig 
eth0 Link encap:Ethernet HWaddr 00:0C:29:8B:14:35 
inet addr:192.168.111.133 Bcast:192.168.111.255 
Mask3255:255.255.0 
inet6 addr: fe80::20c:29ff:fe8b:1435/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:988 errors:0 dropped:0 overruns:0 frame:0 
TX packets:597 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:722837 (705.8 KiB) TX bytes:50302 (49.1 KiB) 
Interrupt:67 Base address:0x2024 


[root@CentOs /]# ifconfig 
[root@CentOs /]# ifconfig eth0:1 192.168.111.134 netmask 255.255.255.0 up 
[root@Centos /]# ifconfig 
eth0 Link encap:Ethernet HWaddr 00:0C:29:8B:14:35 
inet addr:192.168.111.133 Bcast:192.168.111.255 
Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fe8b:1435/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:988 errors:0 dropped:0 overruns:0 frame:0 
TX packets:605 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:722837 (705.8 KiB) TX bytes:51324 (50.1 KiB) 
Interrupt:67 Base address:0x2024 


eth0:1 Link encap:Ethernet HWaddr 00:0C:29:8B:14:35 
inet addr:192.168.111.134 Bcast:192.168.111.255 
Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
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Interrupt:67 Base address:0x2024 


(2) 停止 VsFTPd 服务 。 
运行 killall 命令 暂停 VsFTPd 服务 。 


[root@CentoOs /]# killall vsftpd 


(3) 在 VsFTPd.conf 中 增加 配置 


listen address=192.168.111.133 


(4) 重启 VsFTPd 服务 : 


[root@CentOs vsftpd]# /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf & 


(5) 为 第 二 个 VsFTPd 服务 器 建立 匿名 账号 对 应 的 本 地 账号 和 个 人 目录 : 


[root@CentOs /]# useradd -d /var/ftp2 -s /sbin/nologin ftp2 


(6) 改变 匿名 账号 目录 权限 ， 使 其 没有 写 权 限 : 


[root@CentoOs /]# chown root /var/ftp2 


(7) 复制 一 份 配置 文件 vsftpd.conf 并 重新 命名 : 


[root@Centos /]# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftp2d.conf 
[root@CentoOs /]# cd /etc/vsftpd/ 

[root@CentoOs vsftpd]# 1s 

banned email user list vsftpd.conf 

ftpusers vsftp2d.conf vsftpd conf migrate.sh 


(8) 在 新 的 配置 文件 vsftp2d.conf 中 修改 监听 他 地 址 ， 并 添加 新 的 配置 选项 : 


ftpd banner=this is ftp2. 

ftp username=ftp2 

listen=YES 

listen address=192.168.111.134 


(9) 使 用 vsftp2d.conf 启动 新 的 VsFTPd 进程 : 


[root@Centos /]# /usr/sbin/vsftpd /etc/vsftpd/vsftp2d.conf 


经 过 以 上 的 步骤 ， 新 的 VsFTPd 服务 已 经 创建 完毕 ， 下 面 我 们 再 对 其 进行 测试 。 


C:\Users\Administrator>ftp 192.168.111.133 ， # 先 登录 原 FTP 
连接 到 192.168.111.133。 

220 (vsFTPd 2.0.5) 欢迎 信息 为 默认 信息 
用 户 (192.168.111.133: (none) ) : anonymous 

331 Please specify the password. 

密码 : 

230 Login successful. 

ftp> 1s -1 # 查 看 根 目录 内 容 
200 PORT command successful. Consider using PASV. 

150 Here comes the directory listing. 


=¥W======= 10 0 0 Feb 21 02:14 ftpfilel 
= 一 一 二 一 二 10 0 0 Feb 21 02:14 ftpfile2 
drwxr-xr-x 20 0 4096 Feb 21 02:33 upload 


226 Directory send OK. 


ftp: 收 到 196 字 节 ， 用 时 0.00 秒 196.00 千 字 节 / 秒 。 
ftp> bye 
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221 Goodbye. 


C:\Users\Administrator>ftp 192.168.111.134 # 登 录 新 的 FTP 
连接 到 192.168.111.134。 
220 this is ftp2. # 欢 迎 信息 已 经 修改 


用 户 (192.168.111.134: (none)): anonymous 

331 Please specify the password. 

密码 : 

230 Login successful. 

ftp> 1s -1 # 查 看 根 目录 内 容 

200 PORT command successful. Consider using PASV. 

150 Here comes the directory listing. 

226 Transfer done (but failed to open directory). 

ftp> 

从 以 上 的 测试 过 程 可 以 看 出 ， 两 个 FTP 虽然 在 同一 台 服 务 器 中 ， 但 两 者 之 间 是 完全 
独立 的 ， 管 理 员 可 以 对 每 个 FTP 进行 单独 的 配置 。 


9.3.4 ”虚拟 用 户 的 配置 


在 之 前 的 章节 中 ， 我 们 已 经 介绍 过 ，VsFTPd 的 用 户 来 源 有 本 地 用 户 和 匿名 用 户 两 
种 。 本 地 用 户 为 操作 系统 中 创建 的 用 户 ， 用 户 名 和 密码 存放 在 系统 中 的 /etc/passwd 文件 
中 。 这 些 账户 既 可 以 登录 操作 系统 ， 也 可 以 作为 FTP 用 户 登 录 到 VsFTPd 中 。 而 匿名 用 户 
可 以 使 用 任意 字符 作为 密码 登录 VsFTPd， 其 权限 对 应 操作 系统 中 FTP 账户 的 权限 。 

除了 以 上 两 种 用 户 来 源 外 ，VsFTPd 还 支持 虚拟 用 户 ， 它 的 用 户 名 和 密码 存放 在 特定 
的 数据 文件 中 ， 只 有 在 VsFTPd 中 才 有 效 ， 而 不 能 在 其 他 系统 中 登录 。 

与 匿名 用 户 和 本 地 用 户 相 比 ， 采 用 虚拟 用 户 有 很 多 优点 : 

e@ “有 利于 操作 系统 安全 ，FTP 账户 的 泄露 不 会 对 操作 系统 的 安全 造成 影响 。 

@ 如果 FTP 中 需要 很 多 账号 ， 不 需要 在 系统 中 逐个 建立 ， 减 轻 了 操作 系统 的 管理 

负担 。 

@ ”虚拟 用 户 的 账号 权限 设置 更 加 方便 ， 存 储 位 置 更 加 灵活 。 

在 实际 应 用 中 ， 我 们 经 常 使 用 PAM 作为 认证 程序 为 VsFTPd 的 虚拟 用 户 服务 。 
PAM(Plugable Authentication Module， 可 插 拔 认证 模块 ) 是 一 种 完成 通用 认证 功能 的 程序 ， 
其 优点 在 于 可 以 被 其 他 程序 调用 。 当 使 用 PAM 时 ， 调 用 程序 不 需要 重新 编译 ， 只 需要 通 
过 添加 一 个 配置 文件 来 决定 认证 模块 如 何 插入 到 程序 中 。 

PAM 定义 了 4 种 类 型 的 模块 : 

e ”auth 模块 : 提供 了 实际 的 认证 过 程 ， 即 提示 输入 并 检查 密码 的 正确 性 。 

@ account 模块 : 负责 检查 并 确认 是 否 可 以 进行 认证 。 例如， 账号 是 否 到 期 ， 用 户 

是 否 已 经 登录 等 。 

@ ”password 模块 : 主要 用 来 修改 用 户 的 密码 。 

@ session 模块 : 提供 对 会 话 的 管理 和 认证 。 

下 面 ， 我 们 就 以 PAM 为 例 ， 介 绍 VsFTPd 虚拟 用 户 的 配制 方法 。 

(1) 正常 启动 VSFTPd， 使 用 默认 的 vsftpd.conf。 

(2) 建立 用 户 列 表 文件 ， 创 建 ftpuser.txt 文件 ， 其 中 每 一 行 分 别 对 应 一 个 用 户 名 及 其 
密码 ， 内 容 如 下 : 
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userl 
passwdl 
user2 
passwd2 
user3 
passwd3 


(3) 安装 PAM 数据 库 应 用 程序 。 
首先 ， 我 们 要 确保 DB 及 其 工具 包 已 经 正常 安装 ， 如 果 没 有 正确 安装 ， 我 们 需要 手动 
安装 db4-utils 和 db4-devel 应 用 程序 。 


root@CentOs /]# rpm -qa | grep db4 # 查 看 DB 工具 包 
db4-4.3.29-10.e15 # 缺 少 db4-utils 和 db4-devel 


[rootecentos /]# mount /dev/cdrom /mnt/cdrom  # 装 载 安装 光盘 

root@CentoOs /]# cd mnt/cdrom 

[root@CentOs cdrom]# cd Centos/ 

root@CentOs CentOS]# 

[root@CentOs CentOs]# 1s -f db4* # 查 看 光盘 中 可 用 的 安装 包 

db4-4.3.29-10.e15.i386.rpm db4-tcl-4.3.29-10.e15.i386.rpm 

db4-devel-4.3.29-10.e15.i386.rpm db4-utils-4.3.29-10.e15.i386.rpm 

db4-java-4.3.29-10.e15.i386.rpm 

root@CentOs CentOos]# rpm -ivh db4-utils-4.3.29-10.e15.i386.rpm 

# 安 装 db4-utils 

Preparing... 非 划 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 间 并 井 间 井 间 井 井 并 井 [1 OO 名] 
1:db4-utils 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 井 间 提 并 间 间 提 提 间 间 间 间 间 间 并 [1OOSS] 

root@CentOs CentOS]# rpm -ivh db4-devel-4.3.29-10.e15.i386.rpm 

# 安 装 db4-devel 


Preparing... 非 划 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 间 提 井 提 井 间 间 并 并 井 [1OO 名 ] 
1:db4-devel 非 非 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 井 提 井 间 提 并 间 间 间 间 间 提 间 间 间 井 间 [1 OOSS] 

FooteCcentOS Centos]# cd / 

rootecentOS /]# rpm -qa | grep db4 # 再 次 查看 安装 包 


db4-devel-4.3.29-10.e15 
db4-utils-4.3.29-10.e15 
db4-4.3.29-10.e15 
root@Centos /]# umount /dev/cdrom 
(4) 生成 虚拟 账号 数据 库 。 
db4 的 程序 包 正 确 安装 后 ， 使 用 以 下 命令 在 /etc/vsftpd 目录 中 生成 账号 数据 库 文件 
ftpuser.db， 并 设置 访问 权限 为 600。 


[rooteCcentOoSs /]# db load -T -t hash -f ./usr/ftpuser.txt 
/etc/vsftpd/ftpuser.db 
[root@CentoOs /]# chmod 600 /etc/vsftpd/ftpuser.db 


(5) 设置 PAM 配置 文件 。 

所 有 支持 PAM 的 程序 都 会 有 一 个 与 PAM 进行 对 接 的 配置 文件 ， 存 放 在 /etc/pam.d 目 
录 中 ，VsFTPd 与 PAM 的 对 接 配 置 文件 名 由 vsftpd.comf 中 的 pam_service_name 选项 来 确 
定 ， 默 认 名 为 ftp。 除 此 之 外 ， 我 们 还 需要 在 /etc/pam. 目 录 中 创建 vsftpd_login 文件 ， 其 内 
容 如 下 : 


auth required /lib/security/pam userdb.so db=/etc/vsftpd/ftpuser 
account required /lib/security/pam userdb.so db=/etc/vsftpd/ftpuser 


这 两 个 语句 是 通过 调用 pam_userdb.so 模块 完成 账户 认证 的 ， 在 认证 过 程 中 使 用 
/etc/vsftpd/ftpuser 提供 的 信息 进行 认证 。 
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(6) 建立 FTP 虚拟 用 户 对 应 的 操作 系统 账号 ， 并 设置 该 账号 工作 目录 的 权限 。 
为 了 让 此 账号 只 用 作 FTP 的 虚拟 用 户 账号 ， 我 们 添加 了 “-s /shin/login” 选 项 ， 这 意 
味 此 账号 永远 不 能 在 操作 系统 中 登录 。 


[rooteCentOS /]# useradd -d /home/ftpvir -s /sbin/nologin ftp vir 
[root@CentOs /]# chmod 700 /home/ftpvir 


(7) 在 vsftpd.conf 中 添加 有 关 虚 拟 用 户 的 配置 选项 。 


guest enable=YES 

guest username=ftp vir 

pam service name=vsftpd login 

(8) 设置 虚拟 用 户 的 权限 。 

VsFTPd 可 以 为 每 一 个 虚拟 用 户 设置 单独 的 配置 文件 ， 其 文件 名 和 用 户 名 相同 ， 这 些 
配置 文件 需要 统一 放 在 一 个 目录 下 ， 目 录 位 置 由 uesr_config dir 选项 指定 ， 这 样 ， 每 个 虚 
拟 用 户 就 可 以 在 自己 的 配置 文件 中 设置 不 同 的 内 容 ， 实 现 不 同 用 户 拥有 不 同 权限 的 功能 。 

首先 ， 我 们 必须 在 vsftpd.conf 中 添加 uesr_config dir 选项， 指定 配置 文件 的 存放 
位 置 。 


uesr config dir=/etc/vsftpd 


然后 在 /var/ftp 中 为 用 户 创建 属于 这 个 FTP 用 户 的 根 目录 。 


[root@CentOs /]# mkdir /var/ftp/userl 
[root@CentOs /]# mkdir /var/ftp/user2 


为 了 使 fp_vir 账户 对 这 两 个 目录 拥有 完全 的 权限 ， 还 需要 执行 以 下 的 命令 : 


[root@CentOs /]# chown ftp vir /var/ftp/userl 
[root@CentOs /]# chown ftp vir /var/ftp/user2 


下 面 ， 我 们 为 开始 创建 的 3 个 用 户 分 别 建立 配置 文件 ， 并 填写 配置 信息 。 


[root@CentOs /]# vi /etc/vsftpd/userl 


local root=/var/ftp/userl # 设 置 userl 工作 目录 
[root@CentOs /]# vi /etc/vsftpd/user2 
local root=/var/ftp/user2 # 设 置 user2 工作 目录 


[root@CentOs /]# vi /etc/vsftpd/user3 

local root=/var/ftp/user2 

anon mkdir write enable=YES # 开 启 user3 对 user2 目录 的 控制 权限 
anon other write enable=YES 

anon_ upload enable=YES 

anon world readable only=YES 

write enable=YES 


以 上 步骤 完成 后 ， 再 次 重启 VsFTPd 服务 ， 所 有 设置 就 可 以 自动 生效 了 ， 下 面 我 们 对 
刚才 的 设置 进行 测试 ， 看 看 是 否 和 我 们 预想 的 一 样 。 


C:\Users\Administrator>ftp 192.168.111.133 
连接 到 192.168.111.133。 
220 (vsFTPd 2.0.5) 


用 户 (192.168.111.133: (none) ) : user3 # 使 用 user3 登录 
331 Please specify the password. 
密码 : 


230 Login successful . 
ftp> mkdir user3 # 创 建 目录 
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257 "/user3" created # 目 录 创 建成 功 
ftp> 1s -1 # 查 看 创建 的 目录 
200 PORT command successful. Consider using PASV. 

150 Here comes the directory listing. 

We 2 30 501 4096 Feb 23 08:07 user3 
226 Directory send OK. 

ftp: 收 到 63 字 节 ， 用 时 0.00 秒 63000.00 千 字 节 / 秒 。 

ftp> close 

221 Goodbye. 

ftp> open 192.168.111.133 

连接 到 192.168.111.133。 

220 (vsFTPd 2.0.5) 


用 户 (192.168.111.133: (none) ) : user2 # 使 用 user2 登录 
331 Please specify the password. 

密码 : 

230 Login successful. 

ftp 15 .= 


200 PORT command successful. Consider using PASV. 

150 Here comes the directory listing. 

QIrWx-————— 2 501 501 4096 Feb 23 08:07 user3 
226 Directory send OK. 


ftp: 收 到 63 字 节 ， 用 时 0.00 秒 63.00 千 字 节 / 秒 。 


ftp> rmdir user3 # 试 图 删除 user3 创建 user3 的 目录 
550 Permission denied. # 删 除 失败 ， 没 有 权限 

ftp> close 

221 Goodbye. 


ftp> open 192.168.111.133 
连接 到 192.168.111.133。 
220 (vsFTPd 2.0.5) 


用 户 (192.168.111.133: (none) ) : userl # 使 用 userl 登录 

331 Please specify the password. 

密码 : 

230 Login successful. 

ftp> 1s -1 # 查 看 根 目录 内 容 ， 明 显 与 user2 处 于 不 同 的 目录 


200 PORT command successful. Consider using PASV. 
150 Here comes the directory listing. 
226 Directory send OK. 


ftp> mkdir userl # 试 图 创建 目录 

550 Permission denied. # 创 建 失败 ， 没 有 权限 
ftp> bye 

221 Goodbye. 


经 过 以 上 的 测试 ， 可 以 看 出 我 们 创建 的 虚拟 用 户 都 能 够 正常 的 登录 到 VsFTPd 中 ， 并 


且 所 有 用 户 的 权限 与 设计 相符 。 
9.3.5 ”FTP 日 志 的 配置 


在 VsFTPd 中 ， 日 志 可 以 记录 服务 器 运行 期 间 的 各 种 工作 状态 ， 包 括 用 户 登录 、 文 件 


下 载 、 创 建 目录 等 操作 。 有 了 日 志 的 帮助 ， 管 理 员 可 以 及 时 了 解 服务 器 运行 中 出 现 的 各 种 
问题 ， 也 可 以 在 服务 调试 的 过 程 中 了 解 相关 信息 。 


1. 开启 日 志 
要 开启 VsFTPd 中 的 日 志 功能 ， 只 需要 在 vsftpd.conf 中 添加 下 面 的 选项 : 
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xferlog enable=YES 


即 可 开启 日 志 功 能 ， 默 认 情 况 下 ， 日 志保 存在 /var/log 目录 中 的 vsftpd.log 文件 中 ， 如 
果 管 理 员 想 更 改 日 志文 件 的 位 置 或 者 文件 名 ， 可 以 在 vsftpd.conf 中 添加 以 下 选项 : 
vsftpd _ 10g file= 路 径 及 文件 名 


vsftpdlog 中 的 日 志 格式 是 VsFTPd 特有 的 ， 具 有 良好 的 可 读 性 。 另 外 ， 管 理 员 还 可 以 
使 用 以 下 选项 将 日 志 的 格式 输出 为 xferlog 格式 : 


xferlog std format=YES 


xferlog 格式 是 与 wu-FTP 服务 器 兼容 的 一 种 通用 FTP 日 志 格式 ， 可 读 性 比较 差 ， 但 是 
很 多 日 志 分 析 软 件 可 以 直接 对 这 种 格式 进行 分 析 。xferlog 日 志 默认 记录 在 /varlog 目录 的 
xferlog 文件 中 ， 它 的 位 置 和 名 称 也 可 以 通过 以 下 选项 进行 修改 : 

xferlog_file= 路 径 及 文件 名 


默认 情况 下 ，VsFTPd 只 记录 其 特有 格式 的 日 志 ， 如 果 希 望 同时 还 记录 xferlog 格式 的 
日 志 ， 需 要 在 vsftpd.conf 中 添加 一 遍 以 下 选项 ， 让 系统 同时 记录 两 种 格式 的 日 志 ， 分 别 储 
存在 对 应 的 路 径 文件 中 。 


dual_1og_enable=YES 


2. VsFTPd 日 志 格式 
下 面 是 一 些 记 录 在 vsftpd.log 文件 中 的 日 志 片段 。 


Tue Feb 21 02:21:34 2012 1 192.168.111.133 0 /ftpfilel a _o al123 ftp 0 


Tue Feb 21 02:23:31 2012 1 192.168.111.1 0 /ftpfilel a _o a 123 ftp 0 3 
Tue Feb 21 02:25:26 2012 1 192.168.111.1 0 /upload/ntuser.dat.LoGl a _ i 
a 123 ftp 0 * 工 

Tue Feb 21 02:32:30 2012 1 192.168.111.1 0 /upload/upfile.txt a _ia 
123. ftp 0 *' 

Tue Feb 21 02:34:26 2012 1 192.168.111.1 18 /upload/upfile.txt a _oa 
123 ftp0*c 

以 上 日 志 中 ， 每 一 列 的 具体 含义 如 下 : 

e@ ”记录 日 志 的 时 间 。 

文件 传输 所 使 用 的 时 间 。 

客户 端的 名 称 和 也 地 址 。 

传输 的 字 节 数 。 

上 传 或 者 下 载 的 文件 名 及 其 路 径 。 

传输 的 方式 ，a 代表 ASCII 方式 ; b 代表 二 进 制 方式 。 

行为 标志 : “_” 表 示 没 有 行为 ， 其 余 的 保留 未 用 。 

传输 方式 ， 相 对 服务 器 而 言 ，o 表示 输出 (out); i 表示 输入 (in)。 

访问 方式 : a 表示 匿名 用 户 (anonymous); g 表示 访客 (guest); r 表示 真实 系统 用 户 
(real)。 

用 户 名 : 访问 FTP 的 用 户 名 。 

@ ”服务 器 名 : 都 为 FTP。 


第 9 章 FTP 服务 的 配置 及 应 用 265 


认证 方式 : 0 表示 未 使 用 。 
认证 的 用 户 D: * 表 示 未 使 用 。 
完成 标志 : c 表示 完成 传输 ;i 表示 未 完成 传输 。 


9.3.6 ”磁盘 限额 的 配置 


对 于 FTP 服务 器 而 言 ， 其 存储 空间 总 是 有 限 的 。 但 是 ， 每 个 用 户 都 会 倾向 于 使 用 更 
多 的 磁盘 空间 ， 为 了 避免 磁盘 空间 被 很 快 耗 尽 而 不 能 正常 提供 服务 的 情况 发 生 ， 大 多 数 
FTP 的 管理 员 都 会 选择 对 用 户 可 使 用 的 磁盘 空间 进行 限制 。 下 面 我 们 就 介绍 一 下 使 用 
quota 软件 对 用 户 可 使 用 的 磁盘 空间 进行 限制 的 方法 。 


1. 设置 分 区 支持 磁盘 限额 


磁盘 限额 工具 (Quota) 是 系统 管理 员 用 来 监控 和 限制 用 户 或 者 组 对 磁盘 的 使 用 的 工具 。 
磁盘 限额 只 能 针对 某 个 分 区 而 言 ， 也 就 是 说 ， 一 个 磁盘 分 区 要 么 全 部 用 于 限制 用 户 使 用 ， 
要 么 全 部 不 参与 磁盘 限额 。 另 外 ， 如 果 要 使 用 磁盘 限额 ， 还 需要 保证 在 Linux 内 核 编译 的 
过 程 中 必须 设 定 支持 quota， 这 一 点 在 CentOS5.5 中 已 经 做 到 。 


二 提示 : ”磁盘 限额 是 针对 Linux 系统 中 的 一 般 用 户 而 言 ，root 权限 用 户 不 会 受到 磁盘 
限额 的 限制 。 


quota 的 限额 方法 有 两 种 : 

@ ”限制 用 户 或 组 可 以 拥有 的 inode 数 ， 即 文件 数 。 

@ ”限制 用 户 或 组 可 使 用 的 磁盘 块 数 ， 即 磁盘 空间 。 

要 使 用 quota 进行 磁盘 限额 ， 首 先 要 保证 软件 包 正 确 的 安装 ， 使 用 以 下 的 命令 来 查看 
quota 软件 包 的 安装 情况 。 


[root@Centos /]# rpm -qa | grep quota 
qnota=d L323.5 


从 显示 内 容 我 们 可 以 看 出 ，quota 软件 已 经 正常 安装 。 为 了 使 用 磁盘 限额 的 功能 ， 首 
先 需 要 设置 挂 载 文件 系统 时 对 磁盘 限额 的 支持 ， 我 们 可 以 通过 修改 /etc/fatab 文件 来 实现 ， 
在 其 中 需要 进行 磁盘 限额 的 分 区 中 添加 usrquota( 用 户 限额 ) 或 者 grpquota( 组 限额 ) 选 项 ， 如 
下 面 的 内 容 : 


[root@CentOs etc]# more fstab 


/dev/VolGroup00/LogRoot / ext3 defaults 生生 
/dev/VolGroup00/Home /home ext3 defaults,usrquota, grpquo 
ta E22 # 在 /home 分 区 中 开启 对 用 户 限额 和 组 限额 的 支持 
LABEL=/boot /boot ext3 defaults be 

tmpfs /dev/shm tmpfs defaults 0 0 
devpts /dev/pts devpts gid=5,mode=620 0 0 
sysfs /sys sysfs defaults 0 0 

proc /proc proc defaults 0 0 
/dev/VolGroup00/LogVol101 swap swap defaults 0 0 


设置 分 区 对 磁盘 限额 的 支持 后 ， 我 们 需要 重启 服务 器 或 者 使 用 以 下 命令 重新 挂 载 分 区 。 


[root@CentoOs /]# mount -o remount /home 
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， 我 们 还 需要 在 此 分 区 中 使 用 quotacheck 命令 来 自动 创建 两 个 文件 ， 分 别 用 来 记 


录用 户 和 组 在 该 分 区 磁盘 空间 的 使 用 情况 ， 如 下 面 的 命令 所 示 : 


[root@CentOs home]# ls 

ftpvir lost+found mvdir 

[root@CentOs home]# quotacheck -agu 

[root@CentOs home]# 1s 

aquota.group aquota.user ftpvir lost+found mvdir 


此 命令 中 ，“-a” 选 项 表示 扫描 所 有 的 挂 载 分 区 文件 /etc/fstab， 如 果 发 现 该 挂 载 分 区 
中 有 usrquota 选项 ， 那 么 会 在 其 分 区 中 创建 aquota user 文件 ， 用 来 记录 用 户 在 此 分 区 的 磁 
盘 使 用 情况 。“-g” 与 “-a” 类 似 ， 用 来 检查 分 区 文件 中 是 否 有 grpquota 选项 ， 如 果 有 ， 


则 在 此 分 


区 根 目录 中 创建 aquota.group 文件 ， 用 来 记录 组 用 户 在 此 分 区 的 磁盘 使 用 情况 。 


而 “-u” 是 默认 选项 ， 用 来 在 创建 文件 前 先 检查 是 否 已 经 有 同名 文件 ， 这 样 做 主要 是 为 了 
防止 在 之 前 已 经 创建 磁盘 配额 的 分 区 中 将 原 有 的 文件 覆盖 。 


2. 设置 用 户 磁盘 限额 


进行 了 以 上 的 配置 后 ， 系 统 已 经 能 够 针对 /home 分 区 对 用 户 进 行 磁盘 限额 的 设置 ， 方 
法 是 通过 使 用 quota 软件 包 中 的 edquota 命令 来 实现 。 此 命令 的 使 用 格式 如 下 : 
edquota [选项 ] [-p 用 户 名 ] [-f 文件 系统 ] < 用 户 名 | 用 户 组 > 


edquota 命令 可 用 的 选项 如 表 9-2 所 示 。 


表 9-2 quota 选项 及 其 含义 


选 项 含义 
已 对 用 户 进行 磁盘 限额 的 设置 ， 默 认 设 置 
-f[ 文 件 系 统 用 于 对 指定 的 磁盘 分 区 设置 限额 
-P 用 户 名 或 者 用 户 组 名 以 某 一 个 用 户 为 模板 进行 用 户 的 磁盘 限额 设置 
对 用 户 组 进行 磁盘 限额 的 设置 


对 所 有 用 户 或 者 用 户 组 进行 宽 限 时 间 限 制 
对 选 定 的 用 户 或 者 用 户 组 进行 宽 限 时 间 限 制 


[ 计 提示 :， 磁盘 限额 是 针对 Linux 系统 中 的 一 般 用 户 而 言 ，root 权限 用 户 不 会 受到 磁盘 


例如 


限额 的 限制 。 在 quota 中 ， 磁 盘 空间 限额 方式 有 两 种 : 

@ 软 限额 : 用 户 到 达 限 额 后 ， 系 统 将 给 出 警告 ， 但 用 户 在 宽 限时 间 内 还 可 
以 继续 使 用 超额 的 空间 或 者 inodes。 

@ 硬 限额 : 用 户 将 永远 不 能 超过 这 个 限额 。 

宽 限时 间 是 指 当 管理 员 使 用 软 限额 时 ， 用 户 的 磁盘 限额 超过 软件 额 后 ， 要 求 
在 多 长 时 间 内 必须 将 使 用 额度 下 降 到 软件 额 之 下 ， 否 则 将 不 能 继续 使 用 空间 
或 者 inode 数 。 


， 我 们 使 用 edquota ftp 命令 来 修改 FIP 用 户 的 磁盘 限额 ， 此 时 实际 上 edquota 将 


调用 vi 编辑 器 对 用 户 的 配置 进行 编辑 ， 显 示 内 容 如 下 : 
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Disk quotas for user ftp (uid 14) : 
Filesystem blocks soft hard inodes soft hard 
/dev/mapper/VolGroup00-Home 0 0 0 0 0 0 


以 上 内 容 从 左 至 右 各 个 字段 的 含义 如 下 : 
Filesystem: 限额 的 分 区 。 

blocks: 表示 该 用 户 已 经 使 用 的 磁盘 块 数 。 
soft， 磁 盘 块 数 的 软 限 制 。 

hard: 磁盘 块 数 的 硬 限 额 。 

inodes: 用 户 已 经 使 用 的 inode 数 。 

soft: inode 数 的 软 限额 。 

@ ”hard: inode 数 的 硬 限额 。 

我 们 可 以 修改 此 文件 中 的 各 个 数字 来 调整 其 软 限额 和 硬 限额 ， 例 如 下 面 的 内 容 表 示 
FTP 用 户 在 磁盘 分 区 /dev/mapper/VolGroup00-Home 中 最 多 只 能 使 用 100 个 磁盘 块 ， 如 
果 达 到 90 个 磁盘 块 将 会 给 出 警告 ， 而 且 最 多 只 能 创建 5 个 文件 ， 达 到 4 个 的 时 候 将 给 出 
警告 。 

Disk quotas for user ftp (uid 14) : 


Filesystem blocks soft hard inodes soft hard 
/dev/mapper/VolGroup00-Home 0 90 100 0 4 5 


默认 情况 下 ， 每 个 磁盘 块 代表 1KB 的 容量 ， 但 并 不 能 说 100 个 磁盘 块 就 能 够 存储 
100KB 的 文件 内 容 ， 因 为 很 多 情况 下 并 不 是 所 有 的 磁盘 块 都 能 够 被 全 部 利用 。 
如 果 管 理 员 要 对 宽 限时 间 进 行 设置 ， 可 以 使 用 以 下 的 命令 ， 其 显示 内 容 如 下 : 


[root@CentOs ~]# edquota -t 

Grace period before enforcing soft limits for users: 

Time units may be: days, hours, minutes, or seconds 
Filesystem Block grace period Inode grace period 
/dev/mapper/VolGroup00-Home 7days 7days 


从 显示 的 内 容 我 们 可 以 看 出 ， 此 时 对 所 有 用 户 的 宽 限时 间 为 7 天 ， 除 了 使 用 days 
外 ， 还 可 以 使 用 hours、minutes、seconds 等 单位 。 


3. 开启 磁盘 限额 


设置 好 所 有 用 户 和 用 户 组 的 磁盘 限额 后 ， 就 可 以 开启 磁盘 限额 功能 ， 使 用 以 下 的 命令 
格式 来 开启 指定 文件 系统 的 磁盘 限额 功能 。 


quotaon [文件 系统 ] 
或 者 ， 我 们 也 可 以 使 用 以 下 命令 来 开启 所 有 已 经 设置 了 磁盘 限额 的 分 区 。 


quotaon -aguv 


4. 关闭 磁盘 限额 
如 果 要 关闭 磁盘 限额 功能 ， 可 以 使 用 以 下 命令 : 


quotaoff 
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5. 测试 实例 
下 面 ， 我 们 以 一 个 实例 的 形式 对 刚才 所 讲述 的 内 容 进行 测试 及 验证 。 测 试 实例 如 下 : 


[root@CentoOs /]# cd home 
[root@CentOs home]# ls 
aquota.group aquota.user ftpvir lost+found mvdir 
[root@CentOs home]# chown ftp mvdir # 改 变 mvdir 的 权限 
[root@CentOs home]# quota ftp # 查 看 FTP 账户 的 磁盘 限额 情况 
Disk quotas for user ftp (uid 14) : 

Filesystem blocks quota limit grace files quota limit grace 
/dev/mapper/VolGroup00-Home 

4 90 100 4 3 


9.4 FTP 客户 端的 配置 


使 用 客户 端 访问 VsFTPd 服务 器 比较 简单 ， 可 以 使 用 各 种 FTP 客户 端 软件 来 实现 ， 包 
括 图 形 化 工具 和 命令 行 工具 。 


1. 使 用 图 形 化 工具 访问 VsFTPd 服务 器 


我 们 可 以 使 用 Web 浏览 器 来 访问 VsFTPd 服务 器 ， 一 般 浏 览 器 都 具有 这 样 的 功能 。 
例如 Internet Explorer、Mozilla 或 者 Firefox 浏览 器 等 。 

如 果 用 户 使 用 匿名 访问 ， 可 以 直接 在 地 址 栏 中 输入 ftp://FTP 服务 器 的 名 称 或 者 卫 地 
址 ， 如 图 9-2 所 示 ; 如 果 使 用 本 地 用 户 或 者 虚拟 用 户 ， 需 要 在 地 址 栏 中 输入 ftp:// 用 户 名 : 
密码 @FTP 服务 器 的 名 称 或 者 瑟 地 址 。 


xs 
国语 ER 


P-acx 


Br pes 1921684419 * | 


FTP 根 位 于 192. 168. 44. 133 


着 可 在 win 


管理 器 中 查看 此 FTP 站 点 ， 请 单 击 “ 杭 图 ”， 然 后 单 击 “ 在 Windows 


9 ftotalol 
[aa 


日 杂 


图 9-2 使 用 IE 访问 VsFTPd 服务 器 


除了 使 用 Web 浏览 器 外 ， 还 可 以 使 用 其 他 专业 的 FTP 客户 端 软件 来 访问 VsFTPd， 
例如 cuteFTP、FlashFXP 等 。 


2. 使 用 命令 行 访问 VsFTPd 服务 器 


不 管 在 Windows 系统 还 是 Linux 系统 ， 其 命令 行 工具 都 带 有 FTP 命令 工具 ， 用 户 可 
以 直接 使 用 FTP 命令 来 访问 VsFTPd 服务 器 。 如 图 9-3 是 使 用 Linux 中 的 命令 行 来 访问 
VsFTPd 的 过 程 。 

在 FTP 中 常用 的 命令 及 其 含义 如 表 9-3 所 示 。 

另外 ， 在 使 用 命令 行 工具 访问 VsFTPd 服务 器 时 ， 系 统 将 以 代码 的 形式 表示 出 服务 器 
的 不 同 状态 。 通 过 这 些 代 码 ， 用 户 可 以 判断 服务 器 工作 是 否 正常 ， 以 对 FTP 服务 器 进行 
调试 或 者 故障 诊断 。 表 9-4 是 FTP 服务 器 常见 的 代码 及 其 含义 。 
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21 92:14 ftpfilel 


图 9-3 使 用 命令 行 访问 VsFTPd 服务 器 
表 9-3 FTP 常用 命令 及 其 含义 


含义 
1command 执行 本 地 的 shell 命令 
ls 列 出 文件 盒 目 录 清 单 
dir 与 ls 命令 相同 
pwd 显示 FTP 服务 器 端的 工作 目录 
cd 改变 当前 目录 
led 查看 或 者 改变 本 地 的 工作 目录 
get 从 FTP 下 载 单个 文件 
put 向 FTP 上 传单 个 文件 
mget 支持 通配符 ， 从 FTP 下 载 多 个 文件 
mout 支持 通配符 ， 向 FTP 上 传 多 个 文件 
mkdir 创建 目录 
rm 删除 文件 或 者 目录 
passive 打开 或 者 关闭 PASV 模式 
close 退出 当前 FTP 会 话 
bye 关闭 fp 命令 
表 9-4 FTP 服务 器 常见 代码 及 其 含义 
代 码 含义 
110 重新 启动 标志 回应 
120 肛 务 在 多 长 时 间 内 可 用 
125 数据 连接 已 经 打开 ， 开 始 传输 数据 
150 文件 状态 正确 ， 正 在 打开 数据 连接 
200 命令 执行 正常 结束 
202 命令 未 被 执行 


系统 状态 或 者 系统 帮助 信息 回应 
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续 表 


目录 状态 信息 


文件 状态 信息 


帮助 信息 


NAME 系统 类 型 
新 连接 的 用 户 的 服务 已 经 就 绪 


控制 连接 关闭 


数据 连接 已 打开 ， 没 有 进行 中 的 数据 传递 


正在 关闭 数据 连接 ， 请 求 文件 动作 成 功 结束 


进入 被 动 模式 


用 户 已 经 登录 
被 请 求 文件 操作 成 功 完成 


路 径 已 经 建立 

用 户 名 存在 ， 需 要 输入 密码 
需要 登录 的 账户 信息 

对 被 请 求 文件 的 操作 需要 进一步 更 多 的 信息 
服务 不 可 用 ， 控 制 连接 关闭 

打开 数据 连接 失败 

连接 关闭 ， 传 输 中 止 

对 被 请 求 文件 的 操作 没有 执行 

请 求 的 操作 没有 被 执行 ， 系 统 存储 空间 不 足 或 者 文件 不 可 用 
语法 错误 ， 不 可 识别 的 命令 

参数 错误 导致 的 语法 错误 

命令 未 被 执行 


命令 的 次 序 错误 


由 于 参数 错误 ， 命 令 未 被 执行 


没有 登录 


存储 文件 需要 账户 信息 
请 求 操作 未 被 执行 ， 文 件 不 可 用 


请 求 操作 终止 ， 页 面 类 型 位 置 


对 请 求 文件 的 操作 中 止 ， 超 出 存储 分 配 


请 求 的 操作 没有 执行 ， 文 件 名 不 允许 


9.5 VsFTPd 综合 案例 


经 过 上 面 的 介绍 ， 我 们 已 经 能 够 比较 详细 的 了 解 vsftpd.conf 的 各 项 参数 了 。 本 节 中 ， 
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我 们 将 通过 一 个 比较 详细 的 实例 来 实现 VsFTPd 的 安全 匿名 访问 ， 具 体操 作 步 又 如 下 : 
(1) 使 用 vi 编辑 器 打开 /etc/vsftpd/vsftpd.conf。 
(2) 所 有 的 配置 内 容 如 下 面 的 代码 ， 关 键 内 容 都 已 经 给 出 了 解释 。 


listen=YES 
listen address=192.168.44.133 


anonymous enable=YES # 开 启 匿 名 访问 
local enable=NO # 关 闭 本 地 账户 访问 


write enable=NO # 取 消 匿名 用 户 的 写 权限 
anon Upload _ enable=YES 

anon mkdir Write enable=NO 

anon other write enable=NO 


anon world readable only=YES “ ## 只 人 允许 匿名 用 户 浏览 文件 


xferlog enable=YES # 开 启 日 志 记录 
xferlog file=/var/log/xferlog 


connect from port 20=YES  ” 提 对 用 户 设置 超时 时 间 ， 进 行 连接 控制 
pasv_ min port=50000 
pasv min port=60000 


max_clients=100 # 控 制 最 大 并 发 数 ， 限 定 每 个 IP 并 发 数 


max per ip=10 


anon max rate=80000 


ftpd banner=this is offical. # 设 置 欢迎 信息 
hide ids=YES # 隐 藏 文件 的 所 有 者 和 组 信息 ， 匿 名 用 户 看 到 的 所 有 文件 的 所 有 者 
和 组 都 变 为 ftp 


9.6 本 章 小 结 


本 章 从 FTP 的 工作 原理 讲 起 ， 详 细 介 绍 了 VsFTPd 服务 器 的 配置 过 程 。 学 习 本 章 内 容 
的 重点 是 vsftpd.conf 文件 的 参数 设置 。 


9.7 课 后 习题 


1. 填空 题 

(1) FIP 是 ” 协议 的 缩写 。 

(2) FTP 的 连接 模式 分 为 和 两 种 。 
2. 选择 题 


(1) FTP Server 通常 使 用 (  ”) 服 务 通道 。 
A.13 B. 25 Gs D.21 
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(2) port 20 通常 是 ( ”) 服 务 通道 . 


A. web data B. ftp data C. mail data D. dns data 
(3) 在 使 用 匿名 登录 FTP 时 ， 用 户 名 为 (。 )。 

A. users B. anonymous C. root D. guest 
3. 简 答题 


(1) 如 何 启动 VsFTPd 服务 ? 它 的 主要 配置 文件 是 什么 ? 
(2) FTP 启用 的 两 个 端口 分 别 是 什么 ?这 两 个 端口 在 哪里 设置 ? 默认 的 端口 是 多 少 ? 
4. 操作 题 


架设 一 个 用 于 朋友 之 间 互 传 文件 的 FTP 服务 器 。 要 求 只 能 使 用 匿名 登录 ， 匿 名 用 户 
有 读 写 权 限 ， 但 不 能 离开 FTP 根 目录 。 
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电子 邮件 (Electronic Mail，E-maiD 是 通过 网 络 实现 相互 传送 和 接 
收 信息 的 现代 化 通信 方式 ， 是 互联 网 中 最 基本 、 最 常用 的 服务 之 
一 。 用 户 可 以 通过 它 实现 与 远程 用 户 经 济 、 方 便 、 快 捷 的 信息 交 
流 。 本 章 在 介绍 电子 邮件 原理 的 同时 以 postfix 服务 为 例 介 绍 电子 邮 
件 系统 的 安装 、 配 置 和 使 用 。 


274 Linux 网 络 技术 基础 


10.1 电子 邮件 服务 概述 


电子 邮件 服务 是 Intemet 最 基本 的 服务 ， 也 是 最 重要 的 服务 之 一 。 与 传统 的 邮政 信件 
服务 类 似 ， 电 子 邮 件 可 以 用 来 在 Intemet 或 Intranet 上 进行 信息 的 传递 和 交流 ， 具 有 快 
速 、 经 济 的 特点 。 与 其 他 各 种 网 络 服务 相 比 ， 电 子 邮件 服务 相对 比较 复杂 ， 要 涉及 多 种 网 
络 协议 ， 而 且 一 个 实际 的 邮件 系统 往往 由 很 多 相互 独立 的 软件 包 组 成 ， 还 需要 解决 它们 之 
间 集 成 时 接口 的 兼容 问题 。 在 本 节 中 ， 我 们 先 对 邮件 系统 的 组 成 和 工作 原理 进行 介绍 。 


10.1.1 邮件 系统 的 组 成 及 工作 原理 


与 其 他 网 络 服务 相同 ， 电 子 邮件 服务 是 基于 客户 /服务 器 (C/S) 模 式 的 。 但 邮件 从 发 件 
人 客户 端 到 达 收 件 人 客户 端的 过 程 中 ， 还 需要 邮件 服务 器 之 间 的 相互 传输 ， 因 此 ， 邮 件 系 
统 要 比 其 他 的 网 络 服务 (例如 FTP、Web 等 ) 复 杂 得 多 。 基 本 的 传输 流程 如 图 10-1 所 示 。 


发 送 方 接收 方 


号 -3 


MUA POP 
MA 
se| 
POP3 || IMAP 
SMTP 
MTA MTA MDA = 信箱 


图 10-1 邮件 传输 流程 示意 图 
其 中 主要 用 到 的 协议 和 软件 如 下 。 
1. 邮件 用 户 代理 (MUA) 


邮件 用 户 代理 (Mail User Agenb 是 在 邮件 使 用 终端 上 运行 的 程序 ， 主 要 负责 编辑 和 发 
送 邮 件 ， 以 及 从 服务 器 上 下 载 、 管 理 、 阅 读 和 处 理 邮 件 。 目 前 常用 的 邮件 用 户 代 理 
Windows 平台 主要 有 Outlook、Foxmail、Dreammail 等 ，Linux 平台 主要 有 Evolution、 
Thunderbird、KMail 等 。 


2. 邮件 传输 代理 (MTA) 


邮件 传输 代理 (Mail Transfer Agent，MTA) 主 要 用 于 存储 和 发 送 邮件 ， 也 可 以 说 是 邮件 
服务 器 软件 的 总 称 ， 如 Sendmail、Postfix、Qmail、Exim 等 。 一 台 服 务 器 可 以 安装 多 个 
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MTA， 但 同一 时 刻 只 能 有 一 个 MTA 工作 。 
3. 邮件 分 发 代理 (MDA) 


邮件 分 发 代理 (Mail Delivery Agent，MDA) 主 要 负责 将 MTA 接收 的 邮件 传递 到 收 件 人 
的 邮箱 (Mailbox) 中 。 所 有 的 SMTP 服务 器 也 都 可 以 称 为 MDA， 但 并 非 所 有 的 MDA 都 是 
SMTP 服务 器 。 


4. 电子 邮件 使 用 的 协议 


要 实现 电子 邮件 服务 还 必须 借助 于 专用 的 协议 才 行 。 目 前 ， 应 用 于 电子 邮件 服务 的 协 
议 主要 有 SMTP、POP3 和 IMAP4 协议 。 

1) SMTP 协议 

SMTP 即 简单 邮件 传输 协议 ， 它 是 一 组 用 于 由 源 地 址 到 目的 地 址 传送 邮件 的 规则 ， 由 
它 来 控制 信件 的 中 转 方式 。SMTP 协议 属于 TCP/IP 协议 徐 ， 它 帮助 每 台 计 算 机 在 发 送 或 
中 转 信 件 时 找到 下 一 个 目的 地 。 

SMTP 协议 的 一 个 重要 特点 是 它 能 够 以 接力 的 方式 传输 邮件 ， 即 邮件 可 以 通过 不 同 的 
网 络 主机 一 站 接着 一 站 地 传输 。SMTP 协议 属于 请 求 /应 答 式 范式 ， 请 求 和 应 答 都 属于 
ASCII 文本 ， 并 以 CR 和 LF 符 结束 。 应 答 包 含 一 个 3 位 数字 的 代码 ， 以 及 供 人 阅读 的 文 
本 解释 。 常 见 的 SMTP 命令 如 表 10-1 所 示 。 


表 10-1 SMTP 常用 命令 及 其 含义 


命令 含义 
HELLO 客户 机 域名 鉴别 对 方 是 否 支持 SMTP 协议 ， 应 该 作为 发 送 方 的 第 一 个 命令 
EHLO 鉴别 接收 方 是 否 支持 ESMTP 协议 ， 接 收 方 将 返回 所 有 支持 的 扩展 命令 
AUTH 开始 进行 认证 
MAIL FROM 发 件 人 地 址 | 告诉 接收 方 即将 发 送 一 封 新 邮件 ， 并 对 所 有 的 状态 和 缓冲 区 进行 初始 化 
RCPT TO 收 件 人 地 址 标识 各 种 邮件 接收 人 地址 ， 该 命令 可 以 发 送 多 个 ， 表 示 有 多 个 收 件 人 


DATA 告诉 接受 方 此 后 为 邮件 正文 ， 直 到 以 “.” 为 唯一 内 容 的 一 行为 止 
REST 退出 /复位 当前 的 邮件 传输 
NOOP 空 操 作 ， 用 于 保持 TCP 连接 
QUIT 要 求 停止 传输 并 关闭 TCP 连接 
验证 给 定 的 邮箱 是 否 存 在 ， 出 于 安全 考虑 ， 大 多 数 SMTP 服务 器 都 会 禁 
VRFY 字符 串 
止 该 命令 
RE 查询 是 否 有 邮箱 属于 给 定 的 邮件 列表 ， 出 于 安全 考虑 ， 大 多 数 SMTP 服 
务 器 都 会 禁止 该 命令 
DEBUG 告知 接收 方 开始 调试 ， 接 收 方 将 处 于 调试 状态 
HELP 返回 帮助 信息 


SMTP 接收 方 收 到 命令 后 ， 将 根据 具体 情况 给 发 送 方 返回 应 答 ， 应 答 是 以 应 答 码 的 形 
式 发 送 的， 所 有 应 答 码 及 其 解释 如 表 10-2 所 示 。 
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表 10-2 SMTP 应 答 码 及 其 含义 


应 答 码 含义 
200 表示 成 功 执行 了 命令 ， 并 不 是 标准 的 应 答 
211 系统 状态 或 系统 帮助 回复 
214 帮助 信息 
220 “域名 称 ” 服 务 已 准备 就 绪 
221 “域名 称 ” 服 务 正 在 关闭 传输 通道 
250 所 请 求 的 命令 已 经 成 功 执行 
354 开始 输入 邮件 
421 “域名 称 ” 服 务 无 效 ， 正 在 关闭 传输 通道 
450 因 邮 箱 无 效 ， 所 请 求 的 MAIL 命令 没有 执行 
451 因 本 地 处 理 错误 ， 放 弃 执行 所 有 请 求 的 命令 
452 因 系 统 存储 空间 不 足 ， 所 请 求 的 命令 没有 执行 
500 语法 错误 ， 命 令 没有 执行 
501 命令 的 参数 存在 语法 错误 
502 无 效 的 命令 
503 不 正确 的 命令 次 序 
504 无 效 的 命令 参数 
521 “域名 称 ” 不 接受 邮件 
530 拒绝 访问 
550 因 邮 箱 无 效 ， 所 请 求 的 MAIL 命令 无 效 
551 非 本 地 用 户 
552 因 超 过 存储 分 配 ，MAIL 命令 无 效 
553 因 邮 箱 名 不 允许 ， 请 求 的 命令 没有 执行 
554 传输 事务 失败 


下 面 ， 我 们 以 一 个 典型 的 客户 端 与 邮件 服务 器 建立 连接 的 过 程 为 例 ， 介 绍 双方 的 交互 
过 程 。 

(1) 每 次 发 送 邮件 时 ， 用 户 代理 需要 与 邮件 所 在 的 SMTP 服务 器 建立 TCP 连接 ， 然 后 
服务 器 会 发 送 给 客户 端 220 应 答 报 文 。 

(2) 接着 客户 端 发 送 EHLO 命令 ， 服 务 器 回应 250 应 答 报 文 ， 表 示 服 务 器 支持 扩展 的 
SMTP 命令 ， 并 处 于 就 绪 状态 。 

(3) 客户 端 发 送 AUTH LOGIN 命令 ， 告 诉 服务 器 开始 进行 验证 ， 服 务 器 回应 334 报 
文 ， 要 求 开 始 输入 用 户 名 。 

(4) 客户 端 发 送 经 过 编码 的 用 户 名 给 服务 器 ， 服 务 器 在 此 发 送 要 求 输入 密码 ， 客 户 端 
会 再 次 将 经 过 编码 的 密码 发 送 给 服务 器 ， 服 务 器 回应 235 报 文 ， 表 明 验 证 成 功 。 

(5) 此 时 客户 端 可 以 开始 发 送 邮件 ， 首 先 发 送 MAIL 命令 将 发 件 人 地 址 告诉 服务 器 ， 
再 通过 RCPT 命令 发 送 收 件 人 地 址 ， 之 后 开始 发 送 DATA 命令 及 其 邮件 内 容 ， 当 然 ， 这 
期 间 每 一 个 命令 服务 器 都 会 回应 250 报 文 表示 命令 执行 成 功 。 
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(6) 所 有 邮件 内 容 发 送 完毕 后 ， 客 户 端 发 送 QUIT 命令 告诉 服务 器 退出 ， 服 务 器 回应 
221 报 文 关闭 传输 通道 。 

(7) 最 后 ， 拆 除 客户 端 和 服务 器 之 间 的 TCP 连接 。 

以 上 的 过 程 是 邮件 客户 端 发 送 邮件 到 SMTP 的 过 程 ， 之 后 ，SMTP 服务 器 会 以 类 似 的 
过 程 将 邮件 再 转发 到 收 件 人 所 在 的 SMTP 服务 器 ， 但 是 SMTP 服务 器 之 间 传 递 邮件 时 ， 
不 需要 使 用 AUTH LOGIN 命令 进行 认证 。 

2) POP3 协议 

邮件 客户 端 通过 SMTP 协议 将 邮件 传递 给 服务 器 ,但 邮件 客户 端 读 取信 件 时 ， 使 用 的 
是 另 一 种 协议 一 一 POP3(Post Office Protocol 3)， 即 邮局 协议 的 第 3 个 版 本 ， 它 规定 怎样 将 
个 人 计算 机 连接 到 Intemet 的 邮件 服务 器 和 下 载 电 子 邮件 的 协议 。 它 是 Intermet 电子 邮件 
的 第 一 个 离线 协议 标准 ，POP3 允许 从 服务 器 上 把 邮件 存储 到 本 地 主机 即 自 己 的 计算 机 
上 ， 同 时 删除 保存 在 邮件 服务 器 上 的 邮件 。 遵 循 POP3 协议 来 接收 电子 邮件 的 服务 器 是 
POP3 服务 器 。 

POP3 协议 也 是 建立 在 TCP 协议 基础 上 的 应 用 层 协 议 ， 默 认 使 用 110 端口 。POP3 协 
议 与 SMTP 类 似 ， 也 属于 请 求 应 答 范 式 。 客 户 端 首先 向 POP3 服务 器 的 110 端口 发 起 TCP 
连接 请 求 ， 服 务 器 接收 后 ， 双 方 建立 TCP 连接 。 之 后 ， 客 户 端 向 服务 器 发 送 POP3 命 
令 ， 服 务 器 收 到 命令 后 ， 根 据 具体 情况 决定 是 否 执 行 ， 然 后 回复 相应 的 应 答 。 常 用 的 
POP3 命令 及 其 含义 如 表 10-3 所 示 。 


表 10-3 POP3 常用 命令 及 其 含义 


命令 含义 
USER 用 户 名 提交 用 户 名 
PASS 密码 提交 密码 
STAT 请 求 服务 器 返回 信箱 统计 信息 ， 如 邮件 数 ， 邮 件 大 小 等 
LISTn 列 出 第 封 邮 件 的 信息 
RETRn 返回 第 n 封 邮件 的 全 部 内 容 
DELEn 删除 第 封 邮 件 ， 只 有 QUIT 命令 执行 后 才 会 真正 删除 
RSET 撤销 所 有 DELE 命令 
UIDLn 返回 第 封 邮件 的 标识 
TOP nm 返回 第 封 邮 件 的 前 m 行内 容 
NOOP 空 操作 ， 用 于 保持 TCP 连接 保持 
QUIT 结束 会 话 ， 退 出 


POP3 协议 的 应 答 非常 简单 ， 代 码 只 有 两 种 : 


“+OK” 表 示 命 令 确 认 执 行 成 功 ， 


下 面 ， 我 们 以 一 个 典型 的 POP3 协议 下 客户 端 和 服务 器 的 交互 来 讲述 通过 POP3 协议 


来 读 取 邮 件 的 过 程 。 


(1) 首先 ， 客 户 端 发 送 TCP 连接 请 求 到 服务 器 ， 双 方 建立 TCP 连接 。 连 接 成 功 后 ， 


服务 器 返回 “+OK” 回 


应 ， 代 表 已 成 功 登 录 邮 箱 。 
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(2) 之 后 ， 客 户 端 发 送 USER 和 PASS 命令 将 用 户 名 和 密码 发 送 给 服务 器 ， 如 果 正 
确 ， 服 务 器 都 会 回应 “+OK”。 

(3) 客户 端 发 送 STAT 命令 查看 邮件 状态 ， 服 务 器 返回 “+OK ”回应 并 附带 邮件 数 和 
邮件 总 字 节 数 。 

(4) 客户 端 此 时 可 以 对 邮件 进行 操作 ， 包 括 查 看 邮件 RETR)、 删 除 邮 件 (DELE) 等 。 

(5) 如 果 要 断 开 连接 ， 客 户 端 发 送 QUIT 命令 要 求 退出 ， 服 务 器 回应 “+OK”， 然 后 
双方 拆除 TCP 连接 ， 完 成 整个 过 程 。 

在 以 上 的 服务 器 应 答 中 ， 如 果 客 户 端 发 送 了 错误 的 命令 ， 服 务 器 会 回应 “-ERR” 应 
答 ， 并 且 不 会 执行 这 个 命令 。 

3) IMAP4 协议 

IMAP4(Internet Message Access Protocol 4) 即 Intemet 信息 访问 协议 的 第 4 个 版 本 ， 是 
用 于 从 本 地 服务 器 上 访问 电子 邮件 的 协议 ， 它 是 一 个 客户 /服务 器 模型 协议 ， 用 户 的 电子 
邮件 由 服务 器 负责 接收 保存 ， 用 户 可 以 通过 浏览 信件 头 来 决定 是 否 要 下 载 此 信 。 用 户 也 可 
以 在 服务 器 上 创建 、 更 改 文件 夹 或 邮箱 ， 删 除 信件 或 检索 信件 的 特定 部 分 。 

虽然 POP 和 IMAP 都 是 处 理 接收 邮件 的 协议 ， 但 两 者 在 机 制 上 却 有 所 不 同 。 在 用 户 
访问 电子 邮件 时 ，POP3 将 信件 保存 在 服务 器 上 ， 当 用 户 阅 读 信件 时 ， 所 有 内 容 都 会 被 立 
即 下 载 到 用 户 的 机 器 上 ， 而 IMAP4 需要 持续 访问 服务 器 ， 因 此 ， 可 以 把 IMAP4 看 成 是 一 
个 远程 文件 服务 器 ， 而 把 POP3 看 成 是 一 个 存储 转发 服务 器 。 

除了 机 制 的 不 同 ，IMAP 还 有 以 下 几 个 特点 : 

e 在线 和 离线 的 两 种 操作 模式 。 
用 户 信箱 的 多 重 连接 。 
在 线 浏览 。 
在 服务 器 保存 邮件 的 状态 信息 。 
支持 多 信箱 。 
服务 端 搜索 。 
良好 的 扩展 机 制 。 
支持 加 密 传输 。 
常用 的 IMAP 命令 如 表 10-4 所 示 。 


表 10-4 IMAP 常用 命令 及 其 含义 


命 令 含 义 
CREATE 创建 一 个 新 邮箱 ， 邮 箱 名 通常 是 带 有 路 径 的 目录 名 
Db 删除 指定 名 称 的 邮箱 ， 邮 箱 名 通常 是 带 有 路 径 的 目录 名 ， 邮 箱 删除 后 ， 其 中 
的 邮件 也 一 起 被 删除 
RENAME 修改 邮箱 的 名 称 ， 邮 箱 名 通常 是 带 有 路 径 的 目录 名 
LIST 列 出 邮箱 的 内 容 
APPEND 客户 端 上 传 一 个 邮件 到 指定 的 邮箱 


SELECT 
FETCH 


设 定 默 认 邮 箱 ， 即 以 后 的 操作 都 是 针对 此 邮箱 
读 取 邮 件 的 文本 信息 用 来 显示 
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2 有 


续 表 
命令 含义 
STORE 修改 邮件 的 属性 ， 包 括 设置 已 读 标 记 、 删 除 标记 等 
CLOSE 关闭 邮箱 ， 此 时 该 邮箱 中 所 有 标 为 DELETED 的 邮件 将 被 彻底 删除 
EXPUNGE 不 关闭 邮箱 而 删除 所 有 标记 为 DELETED 的 邮件 
EXAMINE 以 制 动 方式 打开 邮箱 
SUBSCRIBE 在 客户 端 活动 邮箱 列表 中 添加 一 个 新 的 邮箱 
UNSUBSCRIBE 在 客户 端 活动 邮箱 列表 中 删除 一 个 新 的 邮箱 
LSUB 与 LIST 命令 功能 类 似 ， 但 只 列 出 活动 邮箱 
STATUS 查询 邮箱 的 当前 状态 
CHECK 在 邮箱 上 设置 一 个 检查 点 
SEARCH 根据 指定 的 条 件 在 处 于 活动 状态 的 邮箱 中 搜索 邮件 ， 然 后 加 以 显示 
COPY 复制 邮件 到 其 他 位 置 
UID 邮件 的 唯一 编号 ， 可 与 其 他 对 邮件 进行 操作 的 命令 合用 
CAPABILITY 请 求 服务 器 返回 支持 的 命令 列表 
NOOP 空 操 作 ， 用 来 维持 TCP 连接 
LOGOUT 注销 用 户 并 关闭 所 有 已 经 打开 的 邮箱 


从 IMAP 的 特征 和 命令 含义 可 以 看 出 ，IMAP 协议 的 工作 方式 更 适用 于 处 理 大 量 邮件 


的 用 户 。 


[ 访 提示 :， 在 实际 应 用 中 ，MTA、MUA、MDA 以 及 POP/IMAP 等 服务 器 组 件 均 可 以 
由 不 同 的 软件 来 承担 。 另 外 ， 除 了 以 上 内 容 ， 为 了 方便 邮件 服务 的 管理 ， 一 
个 邮件 服务 器 往往 还 包括 账号 管理 、 信 箱 管理 、 安 全 传输 、 提 供 Web 访问 
界面 等 一 系列 的 功能 ， 这 些 功 能 都 需要 相应 的 软件 来 支持 ， 因 此 ， 建 立 一 个 
实际 可 用 的 服务 器 需要 集成 很 多 不 同 的 软件 。 


10.1.2 ”主流 电子 邮件 服务 器 软件 


在 Linux 平台 中 ， 有 许多 邮件 服务 器 可 供 选择 ， 但 目前 使 用 较 多 的 是 Sendmail 服务 
器 、Postfix 服务 器 和 Qmail 服务 器 。 

1) Sendmail 服务 器 

从 使 用 的 广泛 程度 和 代码 的 复杂 程度 来 讲 ，Sendmail 是 一 个 很 优秀 的 邮件 服务 软件 。 


几乎 所 有 Linux 的 缺 省 配置 中 都 内 置 了 这 个 软件 ， 只 需要 设置 好 操作 系统 ， 


它 就 能 立即 运 


转 起 来 。 但 它 的 安全 性 较 差 ，Sendmail 在 大 多 数 系统 中 都 是 以 root 身份 运行 的 ， 一 旦 邮件 
服务 发 生 安 全 问题 ， 就 会 对 整个 系统 造成 严重 影响 。 同 时 在 Sendmail 开放 之 初 ，Intemet 
用 户 数量 及 邮件 数量 都 较 少 ， 使 Sendmail 的 系统 结构 并 不 适合 较 大 的 负载 ， 对 于 高 负载 
的 邮件 系统 ， 需 要 对 Sendmail 进行 复杂 的 调整 。 


2) Postfix 服务 器 


Postfix 是 一 个 由 IBM 资助 、 由 Wietse Venema 负责 开发 的 自由 软件 工程 产物 ， 它 的 
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目的 就 是 为 用 户 提供 除 Sendmail 之 外 的 邮件 服务 器 选择 。Postfix 在 快速 、 易 于 管理 和 提供 
尽 可 能 的 安全 性 方面 都 考虑 得 比较 周全 。Postfix 是 基于 半 驻 留 、 互 操作 进程 的 体系 结构 ， 
每 个 进程 都 要 完成 特定 的 任务 ， 没 有 任何 特定 的 进程 衍生 关系 ， 能 使 整个 系统 进程 得 到 很 
好 的 保护 。 同 时 Postfix 也 可 以 和 Sendmail 邮件 服务 器 保持 兼容 以 满足 用 户 的 使 用 习惯 。 

3) Qmail 服务 器 

Qmail 是 由 Dan Bernstein 开发 的 可 以 自由 下 载 的 邮件 服务 器 软件 ， 其 第 一 个 beta 版 
本 0.70.7 发 布 于 1996 年 1 月 24 日 ， 当 前 版 本 是 1.03。Qmail 是 按照 将 系统 划分 为 不 同 模 
块 的 原则 进行 设计 的 ， 在 系统 中 有 负责 接收 外 部 邮件 的 模块 ， 有 管理 缓冲 目录 中 待 发 送 邮 
件 队 列 的 模块 ， 也 有 将 邮件 发 送 到 远程 服务 器 或 本 地 用 户 的 模块 。 同 时 只 有 必要 的 程序 才 
是 setuid 程序 ( 即 以 root 用 户 权限 执行 )， 这 样 就 减少 了 安全 隐患 ， 并 且 由 于 这 些 程序 都 比 
较 简单 ， 因 此 就 可 以 达到 较 高 的 安全 性 。 


10.2 ”Postfix 服务 及 其 安装 


Postfix 不 但 在 快速 、 易 用 和 安全 等 方面 都 进行 了 较 好 的 考虑 ， 同 时 与 老牌 的 Sendmail 
邮件 服务 器 保持 了 很 好 的 兼容 性 ， 因 此 是 架设 Linux 平台 下 邮件 服务 器 的 首选 。 在 本 节 
中 ， 我 们 将 介绍 Postfix 邮件 服务 器 的 系统 结构 和 安装 运行 等 内 容 。 


10.2.1 ”Postfix 邮件 系统 结构 


Postfix 由 十 几 个 具有 不 同 功 能 的 半 驻 留 进程 组 成 ， 每 个 进程 都 提供 特定 的 功能 。 但 为 
了 安全 ， 这 些 进程 之 间 又 没有 特定 的 父子 进程 联系 。 另 外 ，Postfix 还 有 4 种 不 同 的 邮件 队 
列 ， 由 队列 管理 进程 统一 进行 管理 。 


1. 邮件 接收 流程 
Postfix 的 邮件 接收 流程 如 图 10-2 所 示 。 


trivial-rewrite 
进程 
smtpd 进 程 
一 一 一 >| cleanup 进 程 一 一 一 ”| el 
gmqpd 进 程 
pickup 进 程 | 一 一 一 -| maildrop 队 列 
sendmail 命 令 postdrop 命 令 


10-2 ”Postfix 邮件 接收 流程 
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其 基本 的 流程 描述 如 下 : 

(1) 来 自 网 络 的 邮件 首先 通过 smtpd 和 qmqpd 进程 进入 Postfix 服务 器 ， 这 两 个 进程 
去 除了 邮件 中 的 SMTP 或 者 QMQP 协议 封装 ， 并 对 邮件 进行 初始 的 安全 检查 ， 以 保护 
Postfix 系统 。 

(2) 然后 ， 这 两 个 进程 将 发 件 人 、 收 件 人 和 消息 内 容 传递 给 cleanup 进程 ， 用 来 按照 
规则 拒绝 不 想 要 的 邮件 。 

(3) cleanup 进程 会 对 这 些 邮 件 进 行 最 终 的 处 理 ， 包 括 加 上 丢失 的 From 等 信息 头 、 转 
换 邮 件 地 址 等 工作 。 

(4) 最 后 ，cleanup 进程 把 处 理 后 的 邮件 作为 单个 文件 放 入 incoming 队列 ， 并 将 新 邮 
件 到 达 的 消息 通知 给 该 队列 的 管理 进程 。 

另外 ，Postfix 还 提供 了 与 Sendmail 兼容 的 命令 ， 可 以 将 本 地 的 Sendmail 邮件 通过 
postdrop 命令 转送 到 maildrop 队列 ， 本 地 的 pickup 进程 再 从 maildrop 队列 中 将 邮件 读 取 
出 来 ， 经 过 初步 的 安全 检查 后 ， 将 邮件 传递 给 cleanup 进程 。 即 使 在 Postfix 邮件 系统 没有 
运行 的 时 候 ， 这 部 分 工作 也 能 够 正常 进行 。 

trivial-rewrite 进程 的 作用 是 将 邮件 地 址 改写 成 标准 的 “用 户 名 @ 邮 件 域名 ”的 形式 。 


2. 邮件 发 送 流程 
邮件 发 送 的 流程 如 图 10-3 所 示 。 


smtp 进 程 


incoming 队 列 trivial-rewrite 进 程 


| | 一 一 P| Imtp 进 程 | 


active 队 列 | 一 一 一 >| qmgr 进 程 
| | local 进 程 [一 一 >| 文件 : 命令 


deferred 队 列 


| 一 一 ”| virtual 进 程 [一 一 >| ”文件 


一 一 >| pipe 进 程 [一 一 >| 命令 


图 10-3 邮件 发 送 流程 


在 发 送 邮 件 时 ， 队 列 管 理 进程 qmgr 是 整个 系统 的 核心 ， 它 与 smtp、lmtp、local、 
Virtual、pipe、discard 和 error 等 邮件 分 发 代理 进程 进行 联系 ， 要 求 它们 根据 收 件 人 地 址 进 
行 分 发 。discard 和 error 进程 用 于 丢弃 或 者 退回 邮件 。 

active 队列 保存 了 正在 进行 发 送 处 理 的 邮件 。 而 deferred 队列 保存 着 暂时 不 能 分 发 的 
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邮件 ， 这 些 邮 件 以 后 还 会 根据 一 定 的 策略 进行 重 发 操作 。 

trivial-rewrite 进程 可 以 依照 所 定义 的 当地 或 者 远程 地 址 类 分 析 每 一 个 收 件 人 的 地 址 信 
息 ， 还 可 以 根据 传输 表 加 入 相关 的 路 由 信息 ， 以 及 查询 relocated 表 确 定 收 件 人 地 址 已 经 
发 生 改 变 的 邮件 ， 这 样 的 邮件 会 退回 给 发 件 人 。 

smtp 进程 则 根据 目标 主机 寻找 一 个 邮件 接收 服务 器 的 列表 ， 并 按照 一 定 的 规则 进行 
排序 ， 再 逐一 与 这 些 邮 件 服务 器 进行 连接 测试 ， 直 到 收 到 响应 。 然 后 将 发 件 人 、 收 件 人 和 
邮件 内 容 通过 SMTP 协议 封装 起 来 。 

lmtp 进程 的 功能 与 smtp 非常 类 似 ， 但 是 采用 的 是 LMTP(Local Mail Transfer 
Protocol， 本 地 邮件 传输 协议 )， 它 是 SMTP 的 升级 版 本 。 

local 进程 的 功能 是 邮件 分 发 代理 ， 它 能 够 识别 各 种 各 样 的 邮件 格式 ， 并 对 这 些 邮件 
进行 分 发 。 多 个 local 进程 可 以 同时 分 发 。 通 过 配置 ，local 进程 可 以 进行 多 种 分 发 方式 ， 
包括 : 

@ ”将 邮件 分 发 到 用 户 的 邮箱 。 

@ 将 邮件 分 发 到 procmail 等 邮件 客户 端 。 

@ ”将 邮件 分 发 到 Postfix 分 发 代理 进程 。 

virtual 进程 的 分 发 代理 只 负责 分 发 到 UNIX 类 的 邮箱 和 Qmail 邮件 目录 。 它 可 以 为 各 
个 子 域 分 发 邮件 ， 因 此 特别 适合 企业 内 的 邮件 发 送 。 

pipe 进程 提供 与 其 他 邮件 系统 的 外 部 接口 ， 它 通过 管道 给 其 他 的 命令 提供 邮件 内 容 ， 
并 得 到 回应 码 。 


3. master 进程 


除了 上 面 提 到 的 这 些 进 程 外 ，Postfix 系统 还 运行 着 其 他 一 些 进程 ， 这 些 进 程 都 有 特定 
的 功能 ， 还 提供 了 Postfix 命令 的 接口 。 

其 中 最 重要 的 一 个 进程 就 是 master 进程 。 它 监控 着 整个 邮件 系统 中 其 他 进程 的 工 
作 ， 以 root 用 户 身份 运行 。master 进程 与 Postfix 系统 一 起 启动 ， 一 直 运行 到 整个 系统 退 
出 。 所 有 其 他 的 Postfix 进程 都 是 由 master 进程 启动 的 ， 以 Postfix 用 户 的 身份 运行 。 


10.2.2 ”Postfix 服务 器 的 安装 与 运行 


安装 Postfix 服务 器 软件 同样 有 两 种 方法 : 一 种 是 通过 RPM 包 的 形式 安装 ， 另 一 种 是 
以 编译 源码 的 形式 安装 。 使 用 编译 源码 的 形式 安装 比较 复杂 ， 不 但 要 下 载 源码 进行 编译 ， 
还 需要 添加 Postfix 所 需要 使 用 的 用 户 和 用 户 组 ， 之 后 还 要 对 安装 脚本 进行 修改 ， 在 此 我 
们 不 介绍 这 种 安装 方法 ， 有 兴趣 的 读者 可 以 参考 其 他 资料 。 

使 用 RPM 包 的 形式 安装 比较 简单 ， 在 CentOS 5.5 的 安装 光盘 中 已 经 附带 了 Postfix 的 
RPM 安装 包 ， 文 件 名 为 postfix-2.3.3-2.1.el5_ 2.1386.rpm， 我 们 只 需要 挂 载 光盘 ， 然 后 使 用 
Ipm 命令 安装 即 可 。 默 认 情况 下 CentOS 已 将 Sendmail 安装 到 系统 中 了 ， 如 果 要 使 用 
Postfix， 就 必须 先 将 Sendmail 服务 停止 ， 然 后 再 安装 Postfix 服务 软件 。 具 体 的 操作 步 又 
如 下 。 

(1) 关闭 Sendmail 服务 。 用 下 面 的 命令 检查 Sendmail 服务 是 否 已 启动 。 
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netstat -nutlp | grep :25 

[root@CentOs ~]# netstat -nutlp | grep :25 

tcp 0 0 127.050.1:25 O00.0.0:* LISTEN 

4000/sendmail: acce 

从 上 面 的 内 容 我 们 可 以 看 出 ，Sendmail 服务 正在 监听 TCP 的 25 号 端口 。 使 用 以 下 命 
令 停 止 Sendmail 服务 以 及 取消 Sendmail 开机 自动 启动 。 


[root@CentOs ~]# /etc/rc.d/init.d/sendmail stop 

Shutting down sm-client: [ OK ] 
Shutting down sendmail: [ OK |] 
[root@CentOs ~]# chkconfig sendmail off 


关闭 自 启动 后 ， 还 可 以 用 下 面 的 命令 来 查看 Sendmail 的 当前 状态 。 


[root@CentOs ~]# chkconfig sendmail --list 
sendmail Osoff Tsoff ‘2:0ff 3ioff, 4:o0ff 50ff 6s0ff 


(2) 安装 postfix 服务 。 将 CentOS 安装 光盘 挂 载 到 系统 中 。 


[rootecentos /]# mount /dev/cdrom /mnt/cdrom 
mount: block device /dev/cdrom is write-protected, mounting read-only 


进入 挂 载 的 光盘 目录 ， 在 CentOS 目录 中 已 经 提供 了 Postfix 的 RPM 安装 包 postfix- 
2.3.3-2.1.el5_2.1386.rppm， 运 行 以 下 命令 即 可 完成 安装 。 

[root@CentOs CentOS]# rpm -ivh postfix-2.3.3-2.1.el5 2.i386.rpm 

Preparing... 非 提 划 提 提 提 提 提 提 大 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 井 间 并 间 间 间 并 并 并 [ 工 00 和 村] 

1:postfix 非 非 非 提 提 提 提 非 提 非 提 提 提 提 提 提 提 提 提 提 井 提 提 井 提 间 提 提 间 提 间 提 提 提 间 间 提 间 提 间 井 # 提 [ 工 OO 名] 

安装 完成 后 ， 所 有 的 Postfix 都 处 于 默认 值 的 状态 ， 还 无 法 进行 实际 的 使 用 ， 需 要 进 
一 步 的 配置 。 在 下 节 我 们 将 详细 介绍 如 何 配 置 Postfix 服务 。 

(3) 启动 Postfix 服务 。 运 行 以 下 命令 即 可 启动 Postfix 的 服务 进程 。 


[root@CentOs /]# /etc/init.d/postfix start 
Starting postfix: ER 


上 述 命令 执行 完成 后 ， 我 们 可 以 查看 一 下 相关 进程 的 情况 来 确认 启动 是 否 正 常 。 


[root@CentOs /]# ps -eaf | grep postfix 


root 6551 2 人 28232 下 00:00:00 /usr/libexec/postfix/master 
postfix 6552 6551 0 21:32 ? 00:00:00 pickup -1 -t fifo -u 
postfix 6553 6551 0 21:32 ? 00:00:00 qmgr -1 -t fifo -u 

root 6583 4504 0 21:34 pts/0 00:00:00 grep postfix 


可 以 看 到 ， 初 始 状态 Postfix 启动 了 3 个 进程 。 其 中 ， 主 进程 master 是 以 root 用 户 身 
份 运行 的 ， 其 他 两 个 进程 以 postfix 用 户 身份 运行 。 下 面 我 们 再 查看 一 下 25 端口 ， 该 端口 
是 邮件 服务 器 之 间 传 递 邮 件 的 默认 端口 ， 也 是 客户 端 发 送 邮件 时 与 服务 器 进行 连接 的 默认 
端口 。 


[root@CentoOs /]# netstat -anp | grep :25 
tcp 0 0 127.0.0.1:25 O00.0:» 
LISTEN 6551/master 


(4) 为 了 使 Postfix 服务 器 能 够 接受 远程 客户 端的 连接 ， 还 需要 开放 防火 墙 的 对 应 端口 。 


[root@Centos /]# iptables -I INPUT -p tcp --dport 25 -]j ACCEPT 


完成 以 上 步骤 后 ， 虽 然 客户 端 已 经 可 以 通过 25 端口 与 Postfix 服务 器 进行 连接 ， 但 此 
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时 Postfix 还 不 能 正常 地 收发 邮件 ， 需 要 进行 进一步 配置 。 
10.3 ”Postfix 服务 器 的 配置 


Postfix 服务 器 的 配置 相当 复杂 ， 除 了 Postfix 软件 外 ， 还 需要 涉及 很 多 其 他 的 软件 和 
知识 ， 例 如 操作 系统 的 用 户 认 证 、 用 户 特权 、 数 据 库 、DNS 配置 等 。 本 节 将 从 最 基本 的 
Postfix 配置 讲 起， 再 逐渐 深入 地 介绍 邮件 的 接收 和 发 送 、SMTP 认证 等 内 容 。 


10.3.1 ”Postfix 服务 器 的 基本 配置 


与 Sendmail 相 比 ，Postfix 最 被 人 称道 的 地 方 就 在 于 其 配置 文件 的 可 读 性 很 高 。 
Postfix 的 主 配置 文件 是 /etc/postfix/main.cf。 虽 然 该 配置 文件 的 内 容 比 较 多 ， 但 其 中 大 部 分 
内 容 都 是 注释 ， 真 正 需要 自行 定义 的 选项 并 不 多 ， 而 且 这 些 选 项 就 算 不 去 定义 ， 按 照 默认 
值 也 可 以 运行 ， 只 不 过 它 只 监听 127.0.0.1 这 个 接口 的 邮件 收发 。 如 果 要 使 它 能 够 支持 客 
户 端 完成 最 基本 的 邮件 收发 任务 ， 通 常 还 需要 进行 下 面 的 设置 。 


1. myhostname 和 mydomain 选项 


用 myhostname 选项 可 以 指定 运行 Postfix 服务 邮件 主机 的 主机 名 称 (EQDN 名 )， 用 
mydomain 选项 指定 该 主机 的 域名 称 。 当 然 这 两 个 选项 也 可 以 不 进行 设置 ， 默 认 情况 下 ， 
myhostname 选项 被 设置 为 本 地 主机 名 ， 而 且 Postfix 会 自动 将 myhostname 选项 值 的 第 一 
部 分 删除 并 将 其 余部 分 作为 mydomain 选项 的 值 ， 典 型 的 设置 如 下 所 示 : 


myhostname = mail.test.edu 
mydomain = test.edu 


2. myorigin 选项 


myorigin 选项 实际 上 是 设置 由 本 台 邮 件 主机 寄 出 的 每 封 邮件 的 邮件 头 中 mail from 的 
地 址 。 由 于 Postfix 默认 使 用 本 地 主机 名 作为 myorigin 选项 的 值 ， 因 此 一 封 由 本 地 邮件 主 
机 寄 出 的 邮件 的 邮件 头 中 就 会 含有 如 “From: “snc”<snc@mail.test.edu>” 这 样 的 内 容 ， 
它 表 明 这 封 邮 件 是 从 mail.test.edu 主机 发 来 的 。 如 果 这 台 邮 件 服务 器 掌管 着 由 多 台 及 其 主 
机 组 成 的 域 时 ， 应 该 将 myorigin 选项 设置 为 本 地 邮件 主机 的 域名 ( 即 “myorigin = test.edu 
或 Smydomain”)， 这 样 一 封 由 本 地 邮件 主机 寄 出 的 邮件 的 邮件 头 中 就 会 含有 如 “From: 

‘snc”<snc@ test.edu >” 这 样 的 内 容 ， 显 然 更 具有 可 读 性 。 


Myori gin = $mydomain 


3. inet_interfaces 选项 


默认 情况 下 ，inet_interfaces 选项 的 值 被 设置 为 localhost， 这 表明 只 能 在 本 地 邮件 主机 
上 寄 信 。 如 果 邮 件 主机 上 有 多 个 网 络 接 口 ， 而 又 不 想 使 全 部 的 网 络 接口 都 开放 Postfix 服 
务 ， 就 可 以 用 主机 名 指定 需要 开放 的 网 络 接口 。 不 过 ， 通 常 是 将 所 有 的 网 络 接口 都 开放 ， 
以 便 接收 从 任何 网 络 接口 来 的 邮件 ， 即 将 inet_interfaces 选项 的 值 设 置 为 all。 
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inet interfaces = all 


4. mydestination 选项 


mydestination 选项 非常 重要 ， 它 指定 发 往 哪些 域 的 邮件 将 会 分 发 给 本 地 用 户 ， 即 只 有 
当 发 来 的 邮件 的 收 件 人 地 址 与 该 选项 值 相 匹配 时 ，Postfix 才 会 将 该 邮件 接收 下 来 ， 并 传递 
给 local_transport 选项 指定 的 分 发 代理 ， 再 由 分 发 代理 根据 /etc/passwd 或 /etc/aliases 等 文件 
寻找 收 件 人 。 例 如 ， 这 里 将 该 选项 值 设置 为 Smydomain 和 $myhostname， 表 明 无 论 来 信 的 
收 件 人 地 址 是 xxx@testedu( 其 中 xxx 表示 某 用 户 的 邮件 账户 名 )， 还 是 
XXX@mail.test.edu，Postfix 都 会 接收 这 些 邮 件 。 


mydestination = $mydomain, $myhostname 


5. mynetworks 和 mynetworks_style 选项 


默认 情况 下 ，Postfix 将 转发 从 授权 网 络 范围 的 客户 端 到 任何 目的 地 的 邮件 。 授 权 网 络 
的 范围 可 以 使 用 mynetworks 选项 来 设置 。 可 将 该 选项 值 设 置 为 所 信任 的 某 台 主机 的 他 地 
址 ， 也 可 设置 为 所 信任 的 某 个 他 子 网 或 多 个 全 子 网 (用 “，” 或 者 “ ”分 隔 )。 这 里 ， 将 
mynetworks 选项 值 设 置 为 192.168.44.0/24 ， 则 表示 这 台 邮 件 主机 只 转发 子 网 
192.168.111.0/24 中 客户 端 所 发 来 的 邮件 ， 而 拒绝 为 其 他 子 网 转发 邮件 。 


mynetworks = 192.168.111.0/24 


除了 mynetworks 选项 外 ， 还 有 一 个 用 于 控制 网 络 邮 件 转发 的 选项 是 
Imynetworks_style， 它 主要 用 来 设置 可 转发 邮件 网 络 的 方式 。 通 常 有 以 下 3 种 方式 。 

@ class: 在 这 种 方式 下 ，Postfix 会 自动 根据 邮件 主机 的 卫 地 址 得 知 它 所 在 的 卫 网 
络 类 型 ( 即 A 类 、B 类 或 是 C 类 )， 从 而 开放 它 所 在 的 人 P 网 段 。 例 如 ， 如 果 邮 件 
主机 的 人 P 地 址 为 168.100.192.10， 这 是 一 个 B 类 网 络 的 人 P 地 址 ， 则 Postfix 会 自 
动 开放 168.100.0.0/16 整个 全 网 络 。 

@ subnet: 这 是 Postfix 的 默认 值 。Postfix 会 根据 邮件 主机 的 网 络 接口 上 所 设置 的 人 P 
地 址 、 子 网 掩 码 来 得 知 所 要 开放 的 人 网 段 。 例 如 ， 邮 件 主机 的 卫 地 址 为 
192.168.16.177， 子 网 掩 码 为 255.255.255.192， 则 Postfix 会 开放 192.168.16.128/30 
子 网 。 

@ ”host: 在 这 种 方式 下 ，Postfix 只 会 开放 本 机 。 

通常 ， 用 户 不 设置 mynetworks-style 选项 ， 而 直接 设置 mynetworks 选项 。 如 果 这 两 个 

参数 都 进行 设置 ， 那 么 只 有 mynetworks 选项 的 设置 有 效 。 


6. relay_domains 选项 

mynetworks 选项 是 针对 邮件 来 源 的 他 来 设置 的 ， 而 relay_domains 选项 则 是 针对 邮件 
来 源 的 域名 或 主机 名 来 设置 的 。 例 如 ， 将 该 选项 值 设 置 为 testedu， 则 表示 任何 由 域 
test.edu 发 来 的 邮件 都 会 被 认为 是 可 信任 的 ，Postfix 会 自动 对 这 些 邮件 进行 转发 。 

relay domains = test.edu 


完成 了 上 面 的 基本 设置 后 ， 重 新 启动 Postfix 服务 ， 这 人 台 Postfix 邮件 主机 就 基本 准备 好 
了 。 但 是 目前 它 仅 支持 客户 端 发 信 ， 还 不 支持 收 信 。 下 面 来 看 一 下 这 些 选项 配置 的 实例 。 
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myhostname = mail.test.edu 
mydomain = test.edu 


myorigin = $myhostname # 本 地 发 送 邮 件 时 ， 发 件 人 主机 设 为 mail .test .edu 
# 发 往 mail.test.edu、localhost.test.edu 和 localhost 的 邮件 认为 是 发 送 给 本 地 域 


mydestination = localhost.$mydomain, $myhostname,1ocalhost 
mynetworks style = subnet # 授 权 网 络 为 Postfix 服务 器 所 在 的 子 网 。 


# 授 权 网 络 以 外 的 客户 端 使 用 Postfix 转发 邮件 时 ， 其 目的 主机 只 能 是 mydestination 指定 的 
域 或 者 163 . com 域 

relay domains = & mydestination 

relay domains = 163.com 


此 外 ， 要 使 它 能 在 单位 内 部 网 络 中 更 好 地 转发 邮件 ， 还 必须 进行 DNS 设置 。 本 例 
中 ， 可 以 在 内 部 网 络 的 DNS 服务 器 上 定义 一 个 主 区 域 test.edu， 并 在 该 区 域 配置 文件 中 定 
义 了 以 下 记录 : 


C:\Users\Administrator>telnet 192.168.111.133 25 
mail.test.edu ESMTP Postfix 

EHLO 192.168.111.134 
250-mail.test .edu 

250-PIPELINING 

250-SIZE 10240000 

250-VRFY 

250-ETRN 

250-ENHANCEDSTATUSCODES 
250-8BITMIME 

250 DSN 

MAIL FROM:<l@test .edu> 

200. 了 > OO 长 

RCPT TO:<2Q@test.edu> 

全 50 27135 .0k 

RCPT TO:<mailtest@mail.test.edu> 
DATA 

354 End data with <CR><LF>.<CR><LF> 
this is a mail. 


250 2.0.0 Ok: queued as 956B6364A15 
MAIL FROM:<l@test .edu> 

250 2.10 Ok 

RCPT TO:<2Q@163.com> 

250 2351.5 0k 

DATA 

354 End data with <CR><LF>.<CR><LF> 
this is another mail. 


250 2.0.0 Ok: queued as Cl1399364A15 

quit 

221 2.0.0 Bye 

从 上 面 的 测试 内 容 可 以 看 出 ， 现 在 Postfix 已 经 能 够 正常 地 发 送 邮件 了 。 下 面 我 们 再 
以 mailtest 用 户 登录 到 服务 器 ， 查 看 刚才 是 否 收 到 邮件 。 


CentOS release 5.5 (Final) 
Kermel 2.6.10-194.el5 on an i686 
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CentOS login: mailtest # 使 用 mailtest 用 户 登 录 
Password: 

Last login: Thu Mar 1 21:14:32 on ttyl 
[mailtest@CentoOs ~]$ mail # 查 看 收 到 的 邮件 


Mail version 8.1 6/6/93. Type ? for help. 
"/var/spool/mail/mailtest": 1 message 1 new 
>N 1 2@test.edu Thu Mar 1 21:13 14/482  # 收 到 的 邮件 


其 中 ，mail 命令 是 Linux 系统 中 邮件 客户 端的 启动 命令 ,但 只 是 一 个 简单 字符 界面 的 
邮件 客户 端 。 在 实际 使 用 中 ， 我 们 很 少 使 用 它 。 


10.3.2 配置 Postfix 接收 域 


作为 邮件 接收 服务 器 ，Postfix 不 但 可 以 设置 接收 本 地 邮件 或 者 属于 其 域名 中 的 邮 
件 ， 也 可 以 配置 成 接收 许多 其 他 类 型 域 的 最 终 目 的 地 。 这 些 域 和 Postfix 服务 器 的 主机 名 
没有 直接 的 联系 ， 这 些 域名 一 般 称 为 托管 域 。 

设置 托管 域 的 方式 很 简单 ， 只 需要 在 main.cf 中 的 mydestination 选项 中 将 所 需要 的 域 
名 添加 到 其 列表 中 ， 那 么 Postfix 就 会 开始 接收 此 域 的 所 有 邮件 。 例 如 下 面 的 例子 。 


mydestination = localhost.$mydomain, $myhostname,localhost, test2.edu 


从 例子 中 可 以 看 出 ， 这 是 在 main.cf 基本 配置 文件 中 的 mydestination 选项 中 新 添加 了 
一 个 参数 “test2.edu”， 那 么 Postfix 就 会 接收 发 往 “test2.edu” 这 个 域 的 所 有 邮件 。 但 
是 ， 这 种 设置 托管 域 的 方法 并 不 好 ， 除 了 设置 此 功能 的 管理 员 ， 其 他 人 很 难 从 此 选项 中 看 
出 哪 一 个 是 本 地 域 ， 哪 一 个 是 托管 域 。 为 了 解决 这 个 问题 ， 我 们 可 以 使 用 虚拟 别名 域 ， 将 
发 给 虚拟 域 的 邮件 实际 投递 到 真实 域 的 用 户 邮箱 中 ;， 可 以 实现 群 组 邮递 的 功能 ， 即 指定 一 
个 虚拟 邮件 地 址 ， 任 何人 发 给 这 个 邮件 地 址 的 邮件 都 将 由 邮件 服务 器 自动 转发 到 真实 域 中 
一 组 用 户 的 邮箱 中 。 

这 里 的 虚拟 域 可 以 是 实际 并 不 存在 的 域 ， 而 真实 域 既 可 以 是 本 地 域 ( 即 main.cf 文件 中 
mydestination 参数 值 中 列 出 的 域 )， 也 可 以 是 远程 域 或 Intemet 中 的 域 。 虚 拟 域 是 真实 域 的 
一 个 别名 。 实 际 上 ， 通 过 一 个 虚拟 别名 表 (VirtuaD)， 实 现 了 虚拟 域 的 邮件 地 址 到 真实 域 邮 
件 地 址 的 重 定向 。 

下 面 通过 一 个 实例 来 说 明 虚 拟 别名 域 的 设置 方法 。 

如 果 要 将 发 送 给 虚拟 域 @VirtualDomian.com 的 邮件 实际 投递 到 真实 的 本 地 域 
@RealDomian.com， 那 么 可 在 虚拟 别名 表 中 进行 如 下 定义 : 


@VirtualDomian.com Q@RealDomian.com 


如 果 要 将 发 送 给 虚拟 域 的 某 个 虚拟 用 户 (或 组 ) 的 邮件 实际 投递 到 本 地 Linux 系统 中 某 
个 用 户 账户 的 邮箱 中 ， 那 么 可 在 虚拟 别名 表 中 进行 如 下 定义 : 


VirtualUser@VirtualDomian.com RealUser 
VirtualGroup@VirtualDomian.com RealUserl, RealUser2, RealUser3 


如 果 要 将 发 送 给 虚拟 域 中 的 某 个 虚拟 用 户 ( 或 组 ) 的 邮件 实际 投递 到 本 地 Linux 系统 中 
和 Intemet 中 某 个 用 户 账户 的 邮箱 中 ， 那 么 可 在 虚拟 别名 表 中 进行 如 下 定义 : 


VirtualUser@VirtualDomian.com VirtualUser, User@RealDomian.com 
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在 实际 应 用 中 ， 配 置 虚拟 别名 域 ， 必 须 按 以 下 步 又 进行 。 
(1) 编辑 Postfix 主 配 置 文件 /etc/postfix/main.cf， 进 行 如 下 定义 : 


Virtual alias domains = VirtualDomain.com, RealDomain.com 

Virtual alias maps = hash:/etc/postfix/virtual 

其 中 ，virtual alias_domains 选项 用 来 指定 虚拟 别名 域 的 名 称 ，virtual alias_maps 选项 
用 来 指定 含有 虚拟 别名 域 定义 的 文件 路 径 。 

(2) 编辑 配置 文件 /etc/postfix/virtual， 进 行 如 下 定义 : 


@VirtualDomian.com Q@RealDomian.com 
VirtualUser@VirtualDomian.com RealUser 
VirtualGroup@VirtualDomian.com RealUserl, RealUser?2, RealUser3 
VirtualUser@VirtualDomian.com VirtualUser, User@RealDomian.com 


(3) 在 修改 配置 文件 main.cf 和 virtual 后 ， 要 使 更 改 立 即 生效 ， 应 分 别 执行 /usr/sbin 目 
录 下 的 两 条 命令 。 


[root@CentOs ~]# postmap /etc/postfix/virtualpostfix reload 

[root@CentOs ~]# postfix reload 

postfix/postfix-script: refreshing the Postfix mail system 

其 中 ， 第 1 条 命令 用 来 将 文件 /etc/postfix/virtual 生成 Postfix 可 以 读 取 的 数据 库 文件 
/etc/postfix/virtual.db; 第 2 条 命令 用 于 重新 加 载 Postfix 主 配 置 文 件 main.cf 文件 。 

另外 ，Postfix 还 可 以 作为 其 他 域 的 后 备 邮件 网 关 服 务 器 。 在 通常 情况 下 ，Postfix 不 
会 接收 主 邮 件 服务 器 所 在 域 的 邮件 ， 但 当主 邮件 服务 器 发 生 故 障 的 时 候 ， 后 备 邮件 网 关 就 
可 以 临时 接收 此 域 的 所 有 上 邮件， 当主 邮件 服务 器 重新 开始 工作 的 时 候 ，Postfix 又 会 将 所 有 
接收 到 的 邮件 转发 给 主 邮件 服务 器 ， 这 些 域 可 以 在 中 继 域 地 址 类 中 定义 。 


10.3.3 ”配置 SMTP 认证 


细心 的 读者 可 以 发 现 ， 前 面 我 们 配置 的 Postfix 服务 器 没有 认证 机 制 ， 任 何 一 个 客户 
端 都 可 以 通过 SMTP 与 Postfix 服务 器 进行 连接 ， 然 后 使 用 RCPT 命令 要 求 Postfix 服务 器 
转发 邮件 到 收 件 人 所 在 的 邮件 服务 器 ， 也 就 是 说 ， 互 联网 上 的 任何 计算 机 ， 不 需要 使 用 
账号 就 可 以 通过 这 台 邮 件 服务 器 向 任何 邮箱 发 送 邮 件 ， 这 无 疑 为 垃圾 邮件 的 发 送 敞开 了 
大 门 。 

为 了 解决 这 个 问题 ， 我 们 需要 在 SMTP 服务 器 中 使 用 身份 认证 机 制 ， 只 有 通过 身份 认 
证 的 用 户 才能 发 送 SMTP 请 求 服务 器 发 送 邮件 到 目的 地 。 认 证 账号 一 般 与 接收 邮件 的 账号 
相同 ， 这 些 账号 可 以 是 操作 系统 账号 ， 也 可 以 是 虚拟 账号 ， 或 者 是 保存 在 数据 库 中 的 用 户 
账号 。 

目前 ， 比 较 常 见 的 SMTP 认证 机 制 是 通过 Cyrus SASL 软件 包 来 实现 的 。Cyrus SASL 
是 Cyrus Simple Authentication and Security Layer 的 简写 ， 它 最 大 的 功能 是 为 应 用 程序 提供 
了 认证 函数 库 。 应 用 程序 可 以 通过 函数 库 所 提供 的 功能 定义 认证 方式 ， 并 让 SASL 通过 与 
邮件 服务 器 主机 的 沟通 从 而 提供 认证 的 功能 。 

下 面 介绍 使 用 Cyrus SASL 包 实 现 SMTP 认证 的 具体 方法 。 

(1) Cyrus-SASL 认证 包 的 安装 。 

使 用 下 面 的 命令 检查 系统 是 否 已 经 安装 了 Cyrus-SASL 认证 包 或 查看 已 经 安装 了 何 种 
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版 本 。 

[root@CentoOs /]# rpm -qa | grep sasl 

cyrus-sasl-plain-2.1.22-5.e15 4.3 

cyrus-sasl-lib-2.1.22-5.e15 4.3 

cyrus-sasl-md5-2.1.22-5.e15 4.3 

cyrus-sasl-2.1.22-5.e15 4.3 

可 以 看 到 ， 早 CentOS 5.5 中 已 经 默认 安装 了 SASL 的 相关 组 件 。 如 果 使 用 上 面 的 命令 
没有 显示 cyrus-sasl-2.1.22 安装 包 ， 可 以 使 用 以 下 命令 将 安装 光盘 中 的 cyrus-sasl-2.1.22- 
5.el5 4.3.i386.Ipm 安装 包 安 装 到 系统 中 。 


[rootecentOS /]# rpm -ivh cyrus-sasl-2.1.22-5.e15 4.3.i386 


(2) Cyrus-SASL V2 的 密码 验证 机 制 。 

安装 完成 后 ， 主 要 复制 的 文件 包 插 /usr/sbin 目录 中 的 saslauthd， 它 负责 提供 安全 认证 
功能 。 默 认 情况 下 ，Cyrus-SASL V2 版 使 用 saslauthd 这 个 守护 进程 进行 密码 认证 ， 而 密码 
认证 的 方法 有 多 种 ， 使 用 下 面 的 命令 可 查看 当前 系统 中 的 Cyrus-SASL V2 所 支持 的 密码 验 
证 机 制 。 

[root@CentOs ~]# saslauthd -V 

saslauthd 2.1.22 

authentication mechanisms: getpwent kerberos5 pam rimap shadow ldap 

从 上 面 显示 的 内 容 可 以 看 到 ， 当 前 可 使 用 的 密码 验证 方法 有 getwent、kerberos5、 
pam、rimap、shadow 和 ldap。 为 简单 起 见 ， 这 里 准备 采用 shadow 验证 方法 ， 也 就 是 直接 
用 /etc/shadow 文件 中 的 用 户 账户 及 密码 进行 验证 。 因 此 ， 在 配置 文件 
/etc/sysconfig/saslauthd 中 ， 应 修改 当前 系统 所 采用 的 密码 验证 机 制 为 shadow， 即 : 


MECH=shadow 


修改 完成 后 ， 就 可 以 使 用 以 下 命令 启动 认证 。 


[root@Centos /]# /usr/sbin/saslauthd -m /var/run/saslauthd/ -a shadow 


#-a shadow 意味 着 使 用 shadow 认证 方式 
[root@CentOs /]# ps -eaf | grep sasl 


root 5013 1 0 10:49 ? 00:00:00 /usr/sbin/saslauthd -m 
/var/run/saslauthd/ -a shadow 

root 5014 5013 0 10:49 ? 00:00:00 /usr/sbin/saslauthd -m 
/var/run/saslauthd/ -a shadow 

root 5015 5013 0 10:49 ? 00:00:00 /usr/sbin/saslauthd -m 
/var/run/saslauthd/ -a shadow 

root 5016 5013 0 10:49 ? 00:00:00 /usr/sbin/saslauthd -m 
/var/run/saslauthd/ -a shadow 

root 5017 5013 0 10:49 ? 00:00:00 /usr/sbin/saslauthd -m 
/var/run/saslauthd/ -a shadow 

root 5034 4911 0 10:50 pts/1 00:00:00 grep sasl 


(3) 测试 Cyrus-SASL V2 的 认证 功能 。 
通过 查看 进程 ， 我 们 可 以 看 到 默认 情况 下 启动 了 5 个 saslauthd 进程 。 为 了 检验 SASL 
安全 认证 是 否 已 经 正常 工作 ， 可 以 输入 以 下 命令 进行 测试 。 


[rooteCentOS /]# /usr/sbin/testsaslauthd -u root -p 111111 
0: OK "Success." 
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testsaslauthd 文件 是 用 来 检验 一 个 账号 是 否 可 以 通过 SASL 安全 认证 。 其 中 ，“-u” 是 
指定 用 户 名 ，“-p” 指 定 密码 。 

(4) 启用 smtp 认证 。 

默认 情况 下 ，Postfix 并 没有 启用 SMTP 认证 机 制 。 要 让 Postfix 启用 SMTP 认证 ， 就 
必须 对 Postfix 的 主 配置 文件 /etc/postfix/main.cf 进行 修改 。 其 中 主要 的 配置 命令 如 下 : 


smtpd sasl auth enable = yes 

smtpd sasl local domain = "" 

smtpd recipient restrictions = 

permit mynetworks,permit sasl authenticated, reject unauth destination 
broken sasl auth clients=yes 

smtpd client restrictions = permit sasl authenticated 

smtpd sasl security options = noanonymous 


其 中 : 

@ smtpd sasl auth_enable: 指定 是 否 要 启用 SASL 作为 SMTP 认证 方式 。 默 认 不 启 
用 ， 这 里 必须 启用 它 ， 所 以 要 将 该 参数 值 设置 为 yes。 

@ smtpd_sasl local domain: 如 果 采 用 Cyrus-SASL V2 版 进行 认证 ， 那 么 这 里 不 做 
设置 。 

@ smtpd_recipient restrictions: 表示 通过 收 件 人 地 址 对 客户 端 发 来 的 邮件 进行 过 
滤 。 通 常 有 以 下 几 种 限制 规则 。 
4 ”permit mynetworks: 表示 只 要 是 收 件 人 地 址 位 于 mynetworks 参数 中 指定 的 

网 段 就 可 以 转发 邮件 。 

4 permit sasl authenticated: 表示 允许 转发 通过 SASL 认证 的 邮件 。 
reject_unauth_destination: 表示 拒绝 转发 含 未 信任 目标 地 址 的 邮件 。 

4 broken sasl auth_ clients: 表示 是 否 兼容 非 标准 的 SMTP 认证 。 有 一 些 
Microsoft 的 SMTP 客户 端 (如 Outlook Express 4.X) 采 用 非 标准 的 SMTP 认证 
协议 ， 只 需 将 该 参数 设置 为 yes 就 可 解决 这 类 不 兼容 问题 。 

@ smtpd_client restrictions: 表示 限制 可 以 向 Postfix 发 起 SMTP 连接 的 客户 端 。 如 

果 要 禁止 未 经 过 认证 的 客户 端 向 Postfix 发 起 SMTP 连接 ， 则 可 将 该 参数 值 设置 

为 permit_sasl_authenticated。 

@ smtpd_sasl_security_options: 用 来 限制 某 些 登录 的 方式 。 如 果 将 该 参数 值 设置 为 
noanonymous， 则 表示 禁止 采用 匿名 登录 方式 。 
(5) 验证 认证 方式 。 
上 述 的 配置 完成 后 ， 在 重新 启动 Postfix 服务 之 前 ， 首 先 检测 一 下 Postfix 是 否 已 经 支 
持 SASL 认证 ， 使 用 以 下 的 命令 : 


[root@CentOs postfix]# postconf -a 
cyrus 
dovecot 


其 中 ，postconf 命令 用 来 显示 Postfix 当前 的 配置 状态 ，“-a” 选 项 表示 输出 当前 支持 
的 SASL 认证 类 型 ， 从 上 面 的 输出 我 们 可 以 看 到 ， 现 在 Postfix 已 经 支持 CYRUS 的 SASL 
认证 了 。 

(6) 重启 服务 。 

在 完成 上 述 步 又 后 ， 必 须 使 用 /etc/init.d/postfix reload 命令 重新 载 入 配置 文件 ， 或 使 用 


. 
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/etc/init.d/postfix restart 命令 重新 启动 Postfix 服务 。 
所 有 的 工作 完成 后 ， 我 们 可 以 对 Postfix 的 SMTP 认证 进行 测试 。 具 体 的 测试 代码 如 下 : 


[root@CentoOs /]# telnet 192.168.111.133 25 
Trying 192.168.111.133... 

Connected to test.edu (192.168.111.133). 
Escape character is '^]'. 

220 mail.test.edu ESMTP Postfix 

EHLO 192.168.111.134 

250-mail.test.edu 

250-PIPELINING 

250-SIZE 10240000 


250-VRFY 
250-ETRN 
250-AUTH PLAIN CRAM-MD5 DIGEST-MD5 LOGIN #SMTP 认证 
250-AUTH=PLAIN CRAM-MD5 DIGEST-MD5 LOGIN #SMTP 认证 


250-ENHANCEDSTATUSCODES 

250-8BITMIME 

250 DSN 

从 上 面 的 登录 信息 我 们 可 以 看 到 ， 与 之 前 的 登录 信息 相 比 ， 多 出 了 两 行 的 显示 内 容 ， 
表明 现在 Postfix 服务 器 已 经 支持 SMTP 认证 了 。 


10.4 架设 POP3 和 1IMAP 服务 器 


前 面 我 们 已 经 详细 介绍 了 Postfix 服务 器 本 身 的 配置 ， 但 Postfix 只 承担 了 邮件 系统 中 
的 MTA 功能 ， 一 个 完整 的 邮件 系统 还 需要 很 多 其 他 的 功能 ， 例 如 ，POP/IMAP 服务 、 
Web 界面 客户 端 、 垃 圾 邮件 过 滤 等 。 这 些 功 能 Postfix 都 是 无 法 完成 的 ， 需 要 第 三 方 软件 
的 支持 ， 从 本 节 开 始 ， 我 们 将 介绍 这 些 软件 的 安装 、 运 行 和 配置 方法 。 


10.4.1 Dovecot 介绍 


Dovecot 软件 是 一 种 在 Linux 下 使 用 的 开源 软件 ， 它 可 以 提供 POP3 和 IMAP 服务 。 
Dovecot 将 安全 作为 主要 的 设计 目标 ， 而 且 速 度 快 、 占 用 内 存 小 、 配 置 简单 ， 可 以 在 各 种 
规模 的 场合 使 用 。 

在 实际 使 用 中 ， 常 见 的 邮件 系统 是 Postfhix、Dovecot 和 MySQL 三 者 配合 搭建 的 邮件 
服务 器 。 其 中 Postfix 作为 邮件 发 送 服务 ，Dovecot 作为 邮件 接收 服务 ， 而 MySQL 作为 账 
号 存储 服务 器 。 


10.4.2 ”Dovecot 服务 的 安装 


首先 ， 我 们 来 查看 一 下 默认 的 CentOS 是 否 已 经 安装 了 Dovecot 相关 的 服务 包 ， 使 用 
以 下 的 命令 : 


[root@CentoOs /]# rpm -q dovercot 
package dovercot is not installed 


可 以 看 到 ，CentOS 5.5 的 默认 安装 是 没有 安装 Dovecot 服务 的 ， 我 们 需要 在 安装 光盘 
中 找到 需要 的 安装 包 ， 包括 dovecot-1.0.7-7.el5.1386.pm、mysql-5.0.77-4.el5 4.2.i386.pm 
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和 perl-DBI-1.52-2.e15.1386.rppm， 然 后 逐个 安装 这 些 软件 包 ， 如 下 面 的 内 容 所 示 : 


[root@CentOs usr]# rpm -ivh perl-DBI-1.52-2.el15.i386.rpm 

Preparing... 非 非 提 提 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 捍 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 提 提 提 提 并 提 并 [1 OO 名 ] 
package perl-DBI-1.52-2.e15.i386 is already installed 

[root@CentOs usr]# rpm -ivh mysql-5.0.77-4.e15 4.2.i386.rpm 

Preparing... 非 非 提 提 提 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 提 间 间 并 提 并 [OO] 
package mysql-5.0.77-4.e15 4.2.i386 is already installed 

[root@CentOs usr]# rpm -ivh dovecot-1.0.7-7.e15.i386.rpm 


Preparing... 非 非 提 提 提 提 非 提 提 提 莫非 提 反 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 并 提 提 提 间 井 提 提 间 并 提 [1 OO 名] 
package dovecot-1.0.7-7.e15.1386 is already installed 


10.4.3 ”Dovecot 服务 的 配置 


Dovecot 服务 的 主 配置 文件 位 于 /etc/dovecot.conf， 其 可 配置 内 容 非常 丰富 ， 并 且 每 一 
个 选项 都 有 详细 的 说 明 。 但 这 里 我 们 只 介绍 基本 的 配置 选项 ， 对 其 他 选项 有 兴趣 的 读者 可 
以 自行 研究 。 


基本 的 配置 内 容 如 下 : 

protocols = imap pop3 # 开 启 POP3 和 IMAP 服务 

ss1l disable = YES # 禁 止 安全 连接 

passdb passwd { # 使 用 /etc/passwd 认证 文件 
} 

passdb shadow { # 使 用 /etc/shadow 认证 文件 


} 
配置 完成 后 ， 使 用 以 下 命令 来 启动 Dovecot 服务 。 


[root@Centos /]# /etc/rc.d/init.d/dovecot start 

Starting Dovecot Imap: [ OK ] 
[root@CentOs /]# chkconfig --level 345 dovecot on 
[root@CentOs /]# ps -eaf | grep dovecot 


root 11182 LO 15:18. 2 00:00:00 /usr/sbin/dovecot 
root 11184 11182 0 15:18 ? 00:00:00 dovecot-auth 
dovecot 11185 11182 0 15:18 ? 00:00:00 pop3-login 
dovecot 11186 11182 0 15:18 ? 00:00:00 pop3-login 
dovecot 11187 11182 0 15:18 ? 00:00:00 pop3-login 
dovecot 11188 11182 0 15:18 ? 00:00:00 imap-login 
dovecot 11189 11182 0 15:18 ? 00:00:00 imap-login 
dovecot 11190 11182 0 15:18 ? 00:00:00 imap-login 


root 11206 11155 0 15:19 pts/0 00:00:00 grep dovecot 


从 上 面 的 进程 列表 中 我 们 可 以 看 出 ，Dovecot 服务 包含 了 两 个 使 用 root 用 户 运 行 的 进 
程 以 及 6 个 使 用 dovecot 用 户 运 行 的 进程 。 其 中 ，dovecot 用 户 是 在 安装 Dovecot 时 自动 创 
建 的 。 

下 面 我 们 再 来 查看 一 下 POP3 和 IMAP 服务 响应 的 端口 是 否 已 经 处 于 监听 状态 ， 如 下 
面 的 命令 所 示 : 


[root@Centos /]# netstat -anp | grep :110 


tcp 0 和 :22:110 六 和 本 LISTEN 
11182/dovecot 

[root@Centos /]# netstat -anp | grep :143 

tcp 0 0 32332143 六 LISTEN 


11182/dovecot 
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从 显示 内 容 可 以 看 出 ，110 端口 和 143 端口 已 经 由 dovecot 进程 进行 监听 ， 为 了 向 其 
他 用 户 提供 服务 ， 还 需要 在 防火 墙 中 添加 开放 端口 的 命令 ， 如 下 所 示 : 


[rooteCentOS /]# iptables -I INPUT -p tcp --dport 110 -]j ACCEPT 
[rooteCentOS /]# iptables -I INPUT -p tcp --dport 143 -] ACCEPT 


完成 以 上 的 设置 后 ,我们 可 以 对 Dovecot 的 POP3 服务 和 IMAP 服务 进行 简单 的 测 
试 ， 内 容 如 下 : 


[root@CentOs /]# telnet 192.168.111.133 110 # 与 服务 器 的 PoP3 端口 110 连接 
ying 192 .169-11.133.。5 

Connected to test.edu (192.168.111.133) . 

Escape character is '^]'. 

+OK Dovecot ready. 


user mailtest # 输 入 用 户 名 

+OK 

pass 123456 # 输 入 密码 

+OK Logged in. 

stat # 列 出 邮箱 的 邮件 数 和 字 节 数 
+OK 1 449 

list 1 # 列 出 第 一 封 邮件 的 字 节 数 
+OK 1 449 

retr 1 # 读 取 第 一 封 邮件 的 内 容 


+OK 449 octets 

Return-Path: <test@abc.com> 

X-Original-To: mailtest@mail.test.edu 

Delivered-To: mailtest@mail.test.edu 

Received: from 192.168.44.134 (unknown [192.168.44.133]) 
by mail.test.edu (Postfix) with ESMTP id 46RFR364R14 
for <mailtest@mail.test.edu>; Thu, 1 Mar 2012 21:12:23 +0800 (CST) 

Message-Id: <20120301131256.46AFA364A1l4@mail.test.edu> 

Date: Thu, 1 Mar 2012 21:12:23 +0800 (CST) 

From: test@abc.com 

To: undisclosed-recipients:; 


test. 

.dele 1 # 给 第 一 封 邮件 打上 删除 标记 
+OK Marked to be deleted . 

stat # 再 次 查看 邮箱 ， 邮 件数 为 0 
+OK 0 0 

rset # 撤 销 所 有 删除 标记 

+OK 

quit # 退 出 POP3 服务 器 


+OK Logging out. 

Connection closed by foreign host 

[root@CentOs /]# telnet 192.168.111.133 143 ， # 连 接 IMAP 服务 端口 143 
了 2 33 

Connected to test.edu (192.168.111.133) . 

Escape character is '^]'. 

* OK Dovecot ready. 


A LOGIN mailtest 123456 # 使 用 mailtest 登录 
A OK Logged in. 
A SELECT INBOX # 选 择 INBOX 邮箱 


FLAGS (\Answered \Flagged \Deleted \Seen \Draft) 

* OK [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \*)] 
Flags permitted. 

* 1 EXISTS 
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0 RECENT 

OK [UNSEEN 1] First unseen- 

OK [UIDVALIDITY 1330674271] UIDs valid 

OK [UIDNEXT 2] Predicted next UID 

A OK [READ-WRITE] Select completed. 

A FETCH 1 body[header] # 提 取 第 一 封 邮 件 的 内 容 
* 1 FETCH (FLAGS (\Seen) BODY [HEADER] {442} 

Return-Path: <test@abc.com> 

X-Original-To: mailtest@mail.test.edu 

Delivered-To: mailtest@mail.test.edu 

Received: from 192.168.44.134 (unknown [192.168.44.133]) 

by mail.test.edu (Postfix) with ESMTP id 46RFR364R14 
for <mailtest@mail.test.edu>; Thu, 1 Mar 2012 21:12:23 +0800 


六 
六 
六 
六 


(CST) 

Message-Id: <20120301131256.46AFA364A1l4@mail.test.edu> 
Date: Thu, 1 Mar 2012 21:12:23 +0800 (CST) 

From: test@abc.com 

To: undisclosed-recipients:; 


) 

A OK Fetch completed. 

A LOGOUT # 退 出 IMAP 服务 器 
* BYE Logging out 

A OK Logout completed. 

Connection closed by foreign host. 


从 上 面 的 测试 内 容 可 以 看 出 ，Dovecot 的 POP3 和 IMAP 服务 已 经 能 够 正常 地 使 用 
了 。 另 外 ， 当 Dovecot 与 Postfix 集成 使 用 时 ， 最 重要 的 是 配置 相关 的 认证 方式 和 邮箱 
的 位 置 ， 这 些 配置 都 可 以 在 /etc/dovecot.conf 中 通过 相应 的 选项 进行 设置 ， 读 者 可 以 自行 
研究 。 


10.5 ”基于 Web 方式 的 邮件 服务 器 配置 


在 上 节 中 ， 我 们 已 经 实现 了 一 个 以 POP3 和 IMAP 为 协议 的 E-Mail 邮件 服务 器 ， 并 
且 使 用 字符 界面 的 形式 成 功 地 收发 了 邮件 。 但 是 ， 在 实际 使 用 中 ， 使 用 字符 界面 收发 邮件 
是 非常 不 方便 的 。 在 本 节 中 ， 我 们 将 介绍 如 何 使 用 Squirrelmail 软件 来 架设 一 台 支 持 Web 
界面 访问 的 邮件 服务 器 。 


10.5.1 ”Squirrelmail 介绍 


除了 使 用 Outlook、Foxmail 等 邮件 客户 端 来 收发 电子 邮件 外 ， 还 有 一 种 流行 的 方式 是 
使 用 Web 界面 来 收发 邮件 ， 它 的 优点 是 只 要 客户 机 中 装 有 Web 浏览 器 即 可 ， 不 需要 安装 
其 他 软件 。 为 了 能 够 让 用 户 使 用 Web 界面 访问 邮箱 ， 首 先 要 架设 Web 服务 器 ， 然 后 需要 
采用 Web 语言 编写 Web 程序 ，Web 程序 再 与 邮件 服务 器 进行 交互 ， 以 帮助 用 户 使 用 Web 
界面 的 方式 来 收发 邮件 。 

Squirrelmail( 中 文 名 为 “小 松鼠 网 页 电子 邮件 系统 ”) 便 是 这 样 一 款 Web 程序 ， 它 能 够 
与 Postfix 集成 在 一 起 ， 为 用 户 提供 Web 邮件 服务 。 它 是 一 款 使 用 PHP4 编写 、 基 于 
IMAP 协议 的 Webmail 电子 邮件 客户 端 软件 。Squirrelmail 的 主要 特点 是 架设 、 操 作 与 维 
护 简便 ， 无 须 使 用 SQL Server， 与 标准 的 电子 邮件 服务 软件 (如 Postfix) 的 兼容 性 好 ， 而 且 
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可 以 通过 安装 插件 Plugin) 来 扩充 其 功能 。 当 需要 更 新 版 本 或 使 用 新 的 插件 时 ， 可 以 直接 
到 Squirrelmail 官方 网 站 http://www.squirrelmail.org/ 上 下 载 。 


10.5.2 ”Squirrelmail 的 安装 
读者 可 使 用 下 面 的 命令 检查 系统 是 否 已 经 安装 了 Squirrelmail。 


[root@CentOs ~]# rpm -q squirrelmail 
package squirrelmail is not installed 


可 以 看 出 ， 在 CentOS 操作 系统 中 ， 默 认 并 没有 安装 Squirrelmail， 用 户 需 要 安装 
Squirrelmail 软件 及 PHP 支持 包 ， 文 件 名 分 别 为 : squirrelmail-1.4.8-5.el5.centos.10.noarch rpm 
和 php-mbstring-5.1.6-27.el5.i386.rpm。 安 装 过 程 如 下 面 的 代码 所 示 。 


[root@CentOs usr]# rpm -ivh php-mbstring-5.1.6-27.e15.i386.rpm 

Preparing... 非 划 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 井 间 井 井 间 井 并 井 并 [1 OO 名] 
1:php-mbstring 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 提 提 井 提 间 提 间 间 间 间 间 间 间 # [OOS] 

[root@CentoOs usr]# rpm -ivh squirrelmail-1.4.8- 

5.e15.centos.10.noarch.rpm 

Preparing... 提 非 提 提 拓 提 非 提 提 拓 并 拓 大 提 拓 拓 拓 拓 提 提 拓 拓 大 提 提 提 提 大 提 提 提 提 提 提 提 提 提 提 提 提 井 井 # [1OOSS] 
1:squirrelmail 非 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 井 并 井 提 间 间 间 间 间 间 间 并 [OOS] 


10.5.3 ”Squirrelmail 的 配置 


Squirrelmail 的 主 配置 文件 为 /etc/squirrelmail/config.php。 要 配置 Squirrelmail， 可 以 直 
接 修改 该 文件 的 内 容 ， 但 是 使 用 Squirrelmail 的 配置 工具 来 配置 更 方便 、 更 直观 。 在 
/usr/share/quirrelmail/config/ 目 录 中 的 文件 confpl 为 对 应 的 配置 文件 ， 它 是 使 用 pl 语言 
写 的 程序 。 使 用 squirrelmail 的 配置 工具 进行 配置 的 具体 步骤 如 下 。 

(1) 打开 squirrelmail 的 配置 工具 ， 可 执行 下 面 的 命令 。 


[root@CentOs ~]# perl /usr/share/squirrelmail/config/conf.pl 


命令 执行 后 打开 设置 主 菜单 ， 如 图 10-4 所 示 。 


10-4 ”进入 配置 页 面 


(2) 选择 主 菜单 项 D， 即 在 命令 提示 符 (Command>>) 后 输入 字母 “d”， 则 进入 指定 
IMAP 服务 器 的 预 设置 ， 如 图 10-5 所 示 。 然 后 可 根据 Linux 系统 的 当前 配置 ， 在 命令 提示 
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符 后 输入 所 用 的 IMAP 服务 器 类 型 名 ， 此 处 输入 “dovecot”。 


rsity of Washington’s IMAP server 


t change hine 


10-5 配置 邮件 服务 器 类 型 


(3) 输入 IMAP 服务 器 的 配 型 后 ， 程 序 会 自动 检测 此 服务 器 中 是 否 已 经 运行 Dovecot 
服务 ， 如 果 检 测 到 此 服务 ， 将 自动 显示 服务 的 相关 内 容 ， 如 图 10-6 所 示 。 


ommand >>》 dovecot 


imap r_type 
default_fol pref 
trash_fol 
ent_fol 
draft_fol 
how_pref ix_option 
default_sub_of inbox 
how_contain_subfolders_option 
optional_delimiter = detect 
delete_folder = false 


Press any key to continue 


图 10-6 ”检测 到 的 服务 器 信息 


(4) 选择 主 菜单 项 1， 进 入 组 织 设 置 子 菜单 ， 如 图 10-7 所 示 。 然 后 可 根据 具体 情况 修 
改组 织 的 名 称 、 标 志 等 信息 。 设 置 完 毕 后 在 命令 提示 符 后 输入 字母 “r”， 即 可 返回 主 菜单 。 


SquirrelMail Configuration : Read: config.php (1.4.8) 


Preference: 
zation Name SquirrelMail 
tion Logo images/sm_logo .png 
Logo Width/Height : (388/111) 
Organization Title SquirrelMail Suersion 
Signout Page 
p Frame top 


ider link http://www.squirrelmail.org 
ider name squirrelMail 


Return to Main Menu 
Turn color off 
Save data 


Quit 


Command 


10-7 ”组织 信息 子 菜单 


(5) 选择 主 菜单 项 2， 进 入 服务 器 设置 子 菜单 ， 如 图 10-8 所 示 。 由 于 前 面 已 经 对 
IMAP 服务 器 做 了 预 设置 ， 因 此 这 里 只 需要 将 服务 器 的 域名 ( 子 菜单 项 1) 修 改 为 
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“testedu”， 将 发 送 邮 件 的 方式 ( 子 菜单 项 3) 改 为 “SMTP”( 此 时 更 新 SMTP 设置 项 即 子 
菜单 项 B 也 随 之 变 为 “localhost:25”)。 


SquirrelMail Configuration : Read: config.php (1.4.8) 


Quit 


ommand 


图 10-8 服务 器 设置 子 菜单 


(6) 选择 主 菜单 项 4， 进 入 全 局 设置 子 菜单 ， 如 图 10-9 所 示 。 在 这 里 可 以 对 服务 器 的 
各 种 全 局 内 容 进行 详细 的 设置 。 


iting of i 
iting of 
me from header 


1 requirement 


irn to Main Menu 
rn color off 
Save data 


Quit 


ommand 


图 10-9 全 局 设置 子 菜单 


(7) 选择 主 菜单 项 10。 进 入 语言 设置 子 菜 单 ， 如 图 10-10 所 示 。 为 了 使 Web 页 面 支持 
中 文 ， 需 要 将 默认 语言 ( 子 菜单 项 1) 改 为 “zh_CN”( 中 文 )， 将 默认 字符 集 ( 子 菜单 项 2) 改 
为 “gb2312”。 

(8) 选择 主 菜单 项 S$， 即 可 将 所 做 的 修改 同时 保存 在 文件 /etc/squirrelmail/config.php 和 
usr/share/squirrelmail/config/config.php( 符 号 连接 文件 ) 中 ， 如 图 10-11 所 示 。 

上 述 修改 只 是 对 Squirrelmail 的 最 基本 配置 ， 还 可 根据 需要 做 进一步 的 修改 。 特 别 
是 ， 在 默认 情况 下 仅 配 置 安装 了 3 个 插件 ， 而 Squirrelmail 的 插件 非常 丰富 ， 因 此 需要 时 
可 选择 主 菜单 项 8， 将 其 他 插件 配置 到 Squirrelmail 中 。 
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ge prefere 


in conf ig .php 
to continue 


图 10-11 保存 设置 


在 完成 了 对 Squirrelmail 的 配置 后 ， 为 了 能 在 浏览 器 中 访问 到 Squirrelmail 的 Webmail 
网 页 ， 应 执行 下 面 的 命令 来 重新 启动 htttpd 服务 。 


[root@Centos /]# /etc/init.d/httpd restart 
Stopping httpd: [ OK ] 
Starting httpd: [ OK 


10.5.4 ”Squirrelmail 测试 


因此 ， 可 直接 在 浏览 器 的 地 址 栏 中 输入 “http://mail.test.edu/webmail ”( 其 中 ， 
mail.test.edu 是 postfixtapache+squirrelmail 服务 器 的 域名 )， 从 而 打开 Squirrelmail 的 登录 
页 面 ， 如 图 10-12 所 示 。 


| 
rnsnte pW see me 


图 10-12” ”Squirrelmail 登录 页 面 


在 Squirrelmail 的 登录 页 面 中 ， 输 入 Linux 系统 中 的 用 户 名 及 密码 后 ， 系 统 即 可 进入 
Webmail 中 。 接 下 来 ， 用 户 就 可 以 正常 地 收发 邮件 了 。 

Squirrelmail 需要 和 其 他 软件 配合 使 用 才能 正常 工作 ， 包 括 支 持 PHP4 的 Apache 服务 
器 、Postifx 服务 器 、 用 dovecot 安装 的 IMAP 服务 器 等 。 因 此 ， 如 果 运 行 时 出 现 问题 ， 除 
了 从 Squirrelmail 自身 寻找 问题 外 ， 还 需要 注意 其 他 服务 是 否 配置 正确 。 
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10.6 ”Mail 服务 的 邮件 过 滤 功 能 


自从 电子 邮件 诞生 的 那 一 天 起 ， 垃 圾 邮件 就 如 影 随 形 地 一 直 伴随 着 其 发 展 。 垃 圾 邮件 
不 但 经 常 被 用 来 作为 电脑 病毒 的 传播 手段 ， 它 还 浪费 了 大 量 的 网 络 带宽 和 系统 资源 。 


10.6.1 Procmail 介绍 


在 Linux 系统 中 ， 最 常见 的 是 使 用 Sendmail、Postfix 或 者 Qmail 等 软件 作为 MTA， 
再 配合 POP3/IMAP 服务 器 来 组 成 一 个 基本 的 邮件 系统 。 这 样 的 系统 可 以 很 好 地 满足 收发 
邮件 的 要 求 ， 但 这 样 的 系统 对 付 垃圾 邮件 是 无 能 为 力 的 ， 虽 然 Postfix 自 带 了 黑白 名 单 等 
简单 的 邮件 过 滤 功 能 ， 但 由 于 其 规则 简单 ， 过 滤 垃 圾 邮件 的 效果 和 功能 都 很 一 般 。 因 此 ， 
我 们 还 是 需要 第 三 方 软件 来 承担 反 垃 圾 邮件 的 任务 。 

在 Linux 平台 下 的 开源 软件 中 ，Procmail 是 一 个 非常 不 错 的 选择 。Procmail 是 一 个 可 
以 自 定 义 的 强大 的 邮件 过 滤 工具 。 系 统管 理 员 可 以 通过 在 客户 端 或 者 服务 器 配置 Procmail 
来 过 滤 垃 圾 邮件 。 


10.6.2 ”Procmail 的 安装 


在 CentOS 5.5 中 ， 默 认 情 况 下 是 安装 Procmail 的 ， 管 理 员 可 以 使 用 以 下 命令 来 查看 
系统 中 是 否 已 经 安装 Procmail。 

[root@CentOs /]# rpm -qa | grep procmail 

procmail-3.22-17.1.el5.centos 

从 命令 显示 内 容 中 我 们 可 以 看 出 ，Procmail 3.22 版 已 经 安装 在 系统 中 ， 如 果 系 统 中 没 
有 安装 ， 管 理 员 也 可 以 在 CentOS 的 安装 盘 中 找到 RPM 安装 文件 进行 安装 ，RPM 软件 安 
装 方法 我 们 前 面 已 经 多 次 介绍 过 ， 在 此 不 再 累 述 。 还 有 一 种 软件 的 获取 途径 是 访问 
Procmail 的 官方 网 站 http:/www.procmail.org/ 来 获得 程序 的 源 代码 进行 编译 安装 。 


10.6.3 ”Procmail 的 配置 


安装 完成 后 ， 还 需要 对 Procmail 进行 配置 才能 使 其 生效 。Procmail 中 有 两 种 配置 文 
件 ， 一 种 是 作用 于 所 有 邮件 用 户 的 配置 文件 ， 位 于 /etc/procmailrc 文件 ， 另 一 种 是 只 针对 
某 个 邮件 用 户 有 效 的 配置 文件 ， 位 于 每 一 个 用 户 的 主 目录 下 的 procmailrc 文件 ， 此 文件 只 
过 滤 该 用 户 的 邮件 ， 对 其 他 用 户 不 起 作用 。 

实际 上 ，Procmail 安装 完成 后 ，.etc.procmailrc 文件 并 不 存在 ， 需 要 用 户 手动 建立 该 文 
件 ， 此 文件 中 应 该 按照 格式 书写 若干 的 过 滤 规 则 ，Procmail 会 根据 这 些 规则 进行 邮件 过 
滤 ， 规 则 的 具体 格式 如 下 : 

:0 [flags] [:[localhostfile]] # 设 置 被 过 滤 邮 件 检测 的 位 置 


[conditions] # 设 置 被 检测 的 规则 内 容 ， 可 多 行 ， 每 行 一 个 内 容 
[action] # 设 置 对 符合 规则 内 容 的 操作 ， 可 多 行 ， 每 行 一 个 操作 


300 Linux 网 络 技术 基础 


其 中 ，“:0” 表 示 一 个 新 的 规则 开始 ，flags 是 作为 位 置 的 标识 ， 可 用 的 参数 如 表 10-5 
所 示 。 


表 10-5 flags 的 可 用 参数 


参 数 说 明 

H 对 邮件 的 头 部 进行 检查 

B | 对 邮件 的 正文 部 分 进行 检查 

h | 将 邮件 的 头 部 数据 导入 管道 (pipe)、 文 件 或 者 其 他 邮件 并 导向 到 在 规则 中 指定 的 地 广 
b | 将 邮件 的 正文 数据 导入 管道 (pipe)、 文 件 或 者 其 他 邮件 并 导向 到 在 规则 中 指定 的 地 广 
D 区 分 字母 大 小 写 


在 conditions 部 分 可 以 使 用 多 行 ， 每 行 以 “*” 开 头 ， 其 中 常用 的 符号 如 表 10-6 
所 示 。 


表 10-6 conditions 的 常用 符号 及 其 说 明 
说 明 
反 向 选择 
检查 邮件 的 总 长 度 是 否 小 于 设置 值 
检查 邮件 的 总 长 度 是 否 大 于 设置 值 


在 action 部 分 ， 每 一 个 行为 的 开头 可 以 使 用 相应 符号 来 执行 不 同 的 操作 ， 常 用 的 符号 
如 表 10-7 所 示 。 


表 10-7 action 的 常用 符号 及 其 说 明 


! 将 邮件 转发 到 指定 的 地 址 
| 启动 相应 的 程序 


0 括号 之 间 可 以 再 嵌 套 规则 


除了 以 上 的 规则 外 ，Procmailrc 配置 文件 中 还 包含 很 多 环境 变量 信息 ， 常 用 的 环境 变 
量 如 表 10-8 所 示 。 


表 10-8 Procmailrc 的 常用 环境 变量 及 其 说 明 


环境 变量 说 明 
PATH 检索 执行 文件 的 路 径 
SENDMAIL 系统 中 sendmail 的 路 径 ， 也 可 以 是 postifx 链接 的 sendmail 路 径 
VERBOSE 打开 或 者 关闭 详细 日 志 信息 
LOGFILE 指定 日 志文 件 ， 默 认为 /var/log/procmail.log 
ORGMAIL 用 户 的 主 目录 。 默 认为 /var/mail/$SLOGNAME 
DEFAULT 系统 存放 信箱 的 文件 位 置 ， 默 认 和 ORGMAIL 相同 
MAILDIR Procmail 工作 和 执行 的 目录 ， 默 认为 SHOME 目录 
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例如 ， 如 果 想 过 滤 掉 来 自 test@163.com 的 所 有 邮件 ， 那 么 通过 配置 Procmail 可 以 使 
得 来 自 test@163.com 的 邮件 直接 被 送 到 Linux 系统 中 的 /dev/null 目录 里 。 具 体 的 配置 可 以 
参考 如 下 : 

:0 

* ^From.* test@163.com 
:从 
/dev/null 
} 


经 过 上 面 的 例子 ， 读 者 应 该 能 够 了 解 Procmail 规则 的 基本 使 用 方法 了 。 下 面 我 们 就 给 
出 一 个 综合 的 实例 来 分 析 procmailrc 文件 的 组 成 和 编写 方法 。 


PATH=/bin:/sbin:/usr/bin:/usr/sbin 
SHELL=/bin/bash 

MAILDIR=$HOME/Mail 
DEFAULT=$MAILDIR/inbox 
LOGFILE=”/var/10g/procmail.1o0g” 


:0 
* ^From.*noreply@googlegroups .com 
comp.lang.c 


# 将 来 自 noreply@googlegroups .com 的 邮件 保存 到 ~/Mail/comp .1ang.c (这 是 一 个 文本 文件 ) 
:0 


* .*Zeuux-universee@zeuux.org # 这 里 没有 用 From， 那 么 所 有 抄 送 的 邮件 也 会 被 过 滤 ， 就 
不 会 有 遗漏 了 
zeuux 


# 将 来 自 zeuux-universe@zeuux.org 的 邮件 保存 到 ~/Mail/zeuux (这 是 一 个 文本 文件 ) 
:0 
* .*]inux-kernel@zh-kernel.org # 这 里 的 “.*” 代 表 任意 多 少 字 符 串 


zh-kernel 
:0 
* ^From.*billgates@microsoft .com 
#Billgates 的 邮件 放 入 /dev/null， 实 际 上 就 是 删除 
/dev/null 
:0 # 最 后 的 这 个 配置 就 是 指 如 果 上 面 分 类 剩 下 的 信件 全 放 入 inbox 里 (inbox 是 个 文件 夹 ， 有 三 


个 子 目录 new, tmp, cur) 
二 。* inbox 


# 黑 名 单 (垃圾 邮件 ) 
WE 


* i .*badguy 
/dev/null 
关于 procmailrc 格式 的 具体 参考 ， 读 者 可 以 查看 /usrshare/doc/procmail-3.22/examples/ 
目录 ， 其 中 包含 多 个 规则 的 实例 ， 读 者 可 以 根据 这 些 实例 和 自己 的 情况 进行 修改 ， 然 后 复 
制 到 相应 的 目录 即 可 。 另 外 ，procmailre 的 详细 使 用 手册 还 可 以 使 用 如 下 的 命令 来 查看 : 


[root@CentoOs /]# man procmailrc 
[root@CentOs /]# man procmailex 


10.6.4 ”Procmail 的 启用 


设置 好 邮件 的 过 滤 规 则 后 ， 还 需要 让 Postfix 调用 Procmail 以 进行 邮件 过 滤 。 需 要 在 
Posrfix 的 配置 文件 main.cf 中 添加 mailbox_command 配置 选项 。 此 选项 指明 了 Postfix 的 
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本 地 进程 将 调用 哪个 命令 分 发 本 地 邮件 ， 默 认为 空 ， 将 其 指定 为 Procmail 后 ， 则 本 地 邮件 
会 分 发 给 Procmail 程序 来 执行 ， 那 么 之 前 配置 的 邮件 过 滤 规则 就 生效 了 。 具 体 的 配置 选项 
如 下 


mailbox command = /usr/bin/procmail 


10.7 本 章 小 结 


本 章 首先 介绍 了 有 关 邮 件 系统 的 基本 工作 原理 ， 然 后 介绍 了 几 种 重要 的 邮件 协议 ， 接 
着 讲述 了 Postfix 邮件 服务 器 的 安装 方法 及 配置 方法 。 最 后 ， 我 们 还 介绍 了 Postfix 与 其 他 
一 些 软 件 的 配合 使 用 方法 。 


10.8 课 后 习题 

1. 填空 题 
(1) Linux 下 主流 电子 邮件 服务 器 有 : 、 ~、 
(2) Postfix 的 主 配 置 文件 名 为 ， 其 默认 所 在 位 置 为 
2. 选择 题 
(1) 下 列 ( ””) 指 令 可 以 用 来 观看 使 用 者 邮件 。 

A. mail B. lynx C.fp D.w 
(2) 电子 邮件 使 用 的 协议 包括 ( 。”)。 

A. POP3 B. IMAP C. SMTP D. RMVB 
3. 简 答题 


(1) 什么 是 MUA? 什么 是 MTA? 
(2) 简 述 Postfix 邮件 服务 器 与 其 他 邮件 服务 器 相 比 有 什么 优势 。 


4. 操作 题 


(1) 按 如 下 要 求 配置 Postfix: 

@ 配置 /etc/postfix/main.cf， 设 定 主机 名 称 为 t1.ckhitler.org。 

@ 发 信 时 显示 出 ”发 信 源 主机 ”项 目 ， 即 邮件 上 面 的 mail from 的 那个 位 址 。 

@@ 监控 postfix 的 所 有 网 卡 。 

图 设 定 能 收 信 的 主机 名 称 为 t1.ckhitler.org、localhost。 

@@ 规定 信任 的 用 户 端 为 127.0.0.0/8、192.168.6.0/24。 

@ 规范 relay 的 下 一 部 MTA 主机 位 址 ， 指 定 为 $mydestination。 

@ 设 定 邮件 别名 为 alias maps、alias_database， 指 定 别名 文件 为 /etc/postfix/aliases。 
重启 服务 。 

@@ 测试 邮件 收发 。 

(2) 安装 Postfix 服务 器 ， 并 使 用 默认 配置 启动 Postfix 服务 器 。 

(3) 为 Postfix 服务 器 添加 账户 ， 要 求 : 用 户 名 任意 ， 此 账户 必须 可 以 用 来 发 送 和 接 
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随 着 Internet 规模 的 迅速 扩大 ， 安 全 问题 也 越 来 越 重要 ， 而 构建 
防火 墙 是 保护 系统 免 受 侵害 的 最 基本 的 一 种 手段 。 虽 然 防火 墙 并 不 
能 保证 系统 绝对 的 安全 ， 但 由 于 它 简 单 易 行 、 工 作 可 靠 、 适 应 性 
强 ， 还 是 得 到 了 广泛 的 应 用 。 本 章 主 要 介绍 与 Linux 系统 紧密 集成 
的 Iptables 防火 墙 的 工作 原理 、 命 令 格式 ， 以 及 一 些 应 用 实例 。 
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11.1 ”防火墙 概述 


防火 墙 是 建立 在 内 外 网 络 边界 上 的 过 滤 封 锁 机 制 。 一 般 来 说 ， 内 部 网 络 被 认为 是 安全 
和 可 信赖 的 ， 而 外 部 网 络 被 认为 是 不 安全 和 不 可 信赖 的 。 防 火 墙 的 作用 是 防止 不 希望 的 、 
未 经 授权 的 通信 进出 被 保护 的 网 络 ， 迫 使 一 个 组 织 强 化 自己 的 网 络 安全 策略 ， 被 认为 是 在 
可 信 的 内 部 网 络 和 不 安全 可 信 的 外 部 网 络 之 间 提 供 的 一 个 强化 内 部 网 络 安全 的 政策 。 防 火 
墙 是 不 同 网 络 之 间 信 息 的 唯一 出 入 口 ， 能 根据 我 们 制定 的 策略 来 控制 进出 数据 流 ， 其 本 身 
具有 抗 攻击 能 力 ， 能 有 效 保证 网 络 内 部 的 安全 。 一 个 正确 配置 的 防火 墙 可 以 极 大 地 增加 系 
统 安全 性 。 防 火 墙 作为 网 络 安全 措施 中 一 个 重要 的 组 成 部 分 ， 一 直 受 到 人 们 的 普遍 关注 。 

Linux 操作 系统 为 增加 系统 安全 性 而 在 内 核 级 别提 供 了 防火 墙 保护 功能 。Linux 的 防 
火 墙 存在 于 你 的 计算 机 和 网 络 之 间 ， 用 来 判定 网 络 中 的 远程 用 户 有 权 访问 你 的 计算 机 上 的 
资源 。Linux 防火 墙 其 实 是 操作 系统 本 身 所 自 带 的 一 个 功能 模块 。 通 过 安装 特定 的 防火 墙 
内 核 ，Linux 操作 系统 会 对 接收 到 的 数据 包 按 一 定 的 策略 进行 处 理 。 而 用 户 所 要 做 的 ， 就 
是 使 用 特定 的 配置 软件 (如 Iptables) 去 定制 适合 自己 的 “数据 包 处 理 策略 ”。 

Linux 防火 墙 有 如 下 特性 。 

(1) 防火 墙 包 过 滤 : 对 数据 包 进 行 过 滤 可 以 说 是 任何 防火 墙 所 具备 的 最 基本 的 功能 ， 
而 Linux 防火 墙 本 身 从 某 个 角度 也 可 以 说 是 一 种 “ 包 过 滤 防 火 墙 ”。 在 Linux 防火 墙 中 ， 
操作 系统 内 核对 到 来 的 每 一 个 数据 包 进 行 检查 ， 从 它们 的 包头 中 提取 出 所 需要 的 信息 ， 如 
源 耳 地 址 、 目 的 人 P 地 址 、 源 端口 号 、 目 的 端口 号 等 ， 再 与 已 建立 的 防火 规则 逐条 进行 比 
较 ， 并 执行 所 匹配 规则 的 策略 ， 或 执行 默认 策略 。 

值得 注意 的 是 ， 在 制定 防火 墙 过 滤 规 则 时 通常 有 两 个 基本 的 策略 方法 可 供 选择 : 一 个 
是 默认 允许 一 切 ， 即 在 接受 所 有 数据 包 的 基础 上 明确 地 禁止 那些 特殊 的 、 不 希望 收 到 的 数 
据 包 ; 还 有 一 个 策略 就 是 默认 禁止 一 切 ， 即 首先 禁止 所 有 的 数据 包 通 过 ， 然 后 再 根据 所 希 
望 提供 的 服务 去 一 项 项 地 允许 需要 的 数据 包 通 过 。 一 般 说 来 ， 前 者 使 启动 和 运行 防火 墙 变 
得 更 加 容易 ， 但 却 更 容易 为 自己 留 下 安全 隐患 。 通 过 在 防火 墙 外 部 接口 处 对 进来 的 数据 包 
进行 过 滤 ， 可 以 有 效 地 阻止 绝 大 多 数 有 意 或 无 意 的 网 络 攻击 ， 同 时 ， 对 发 出 的 数据 包 进 行 
限制 ， 可 以 明确 地 指定 内 部 网 中 哪些 主机 可 以 访问 互联 网 ， 哪 些 主机 只 能 享用 哪些 服务 或 
登录 哪些 站 点 ， 从 而 实现 对 内 部 主机 的 管理 。 可 以 说 ， 在 对 一 些小 型 内 部 局 域 网 进行 安全 
保护 和 网 络 管理 时 ， 包 过 滤 确 实 是 一 种 简单 而 有 效 的 手段 。 

(2) 代理 : Linux 防火 墙 的 代理 功能 是 通过 安装 相应 的 代理 软件 实现 的 。 它 使 那些 不 
具备 公共 卫 的 内 部 主机 也 能 访问 互联 网 ， 并 且 很 好 地 屏蔽 了 内 部 网 ， 从 而 有 效 保障 了 内 
部 主机 的 安全 。 

(3) IP 伪装 : 人 P 伪装 (IP Masquerade) 是 Linux 操作 系统 自 带 的 又 一 个 重要 功能 。 通 过 
在 系统 内 核 增添 相应 的 伪装 模块 ， 内 核 可 以 自动 地 对 经 过 的 数据 包 进 行 “ 伪 装 ”， 即 修改 
包头 中 的 源 目的 IP 信息 ， 以 使 外 部 主机 误 认 为 该 包 是 由 防火 墙 主 机 发 出 来 的 。 这 样 做 ， 
可 以 有 效 解 决 使 用 内 部 保留 卫 的 主机 不 能 访问 互联 网 的 问题 ， 同 时 屏蔽 了 内 部 局 域 网 。 
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11.2 1Iptables 简介 


Linux 在 2.0 的 内 核 中 ,采用 了 ipfwadm 来 操作 内 核 包 过 滤 规 则 ， 它 仅仅 能 分 析 TCP、 
UDP、ICMP 协议 ， 功 能 有 限 。 在 Linux 的 2.2 的 内 核 中 ,开始 采用 ipchains 来 控制 内 核 包 
过 滤 规 则 。ipchains 重 写 了 ipfwadm 的 包 过 滤 系 统 ， 能 够 支持 所 有 的 基于 TCP/IP 的 协议 ， 
但 数据 包 处 理 过 程 繁琐 效率 较 低 。 从 Linux 的 2.4 内 核 开 始 ， 采 用 一 个 全 新 的 
Netfilter/Iptables 防火 墙 系统 ， 取 代 了 原 有 的 ipchains。 


11.2.1 ”Netfilter/lptables 工作 原理 


Netfilter/Iptables 是 一 个 全 新 的 Linux 网 络 层 防火 墙 ， 它 完全 改变 了 以 往 Linux 防火 墙 
的 处 理 结构 。 

其 中 Netfilter 是 一 个 系统 构架 ， 它 在 内 核 中 添加 了 5 个 位 置 的 固定 检查 点 (HOOK)， 
并 为 Pv4 和 IPv6 在 这 些 检查 点 上 分 别 定义 了 一 套 钩子 函数 进行 处 理 ， 实 现 如 包 过 滤 、 
NAT 或 者 是 用 户 自 定义 的 功能 。 当 数据 包 通 过 这 几 个 检查 点 的 时 候 ， 这 些 钩 子 函数 就 会 
被 调用 ， 它 们 根据 管理 员 添加 的 规则 对 数据 包 执行 检测 处 理 和 过 滤 操 作 。IPv4 协议 栈 中 的 
检查 点 位 置 如 图 11-1 所 示 。 


ROUTE(1) 


图 11-1 Netfilter 框架 系统 流程 图 


检查 点 所 对 应 的 钩子 函数 如 图 11-2 所 示 。 图 中 数据 包 从 左上 方 进 入 系统 ， 经 过 第 一 
个 钩子 函数 NF_IP_PRE_ROUTING 的 处 理 后 进入 路 由 模块 。 在 路 由 模块 中 通过 判断 数据 
包 的 目的 他 地 址 决定 该 数据 包 是 需要 转发 还 是 发 送 给 本 机 。 若 是 发 送 给 本 机 的 ， 则 数据 
包 交 给 钩子 函数 NF IP LOCAL IN 处 理 ， 然 后 再 传递 给 上 层 协议 ; 若 数 据 包 应 转发 ， 则 
它 会 被 NF IP_ FORWARD 处 理 ， 再 经 过 洗衣 歌 钩子 函数 NF IP POST ROUTING 处 理 
后 ， 交 给 下 层 协 议 封装 ， 最 后 传输 到 网 络 上 。 而 防火 墙 本 身 产生 的 数据 经 过 
NF_IP_POST_ROUTING 处 理 后 ， 交 由 下 层 协议 封装 ， 再 次 传输 到 网 络 上 。 
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Conntrack NF_IP_FORWARD 


Mangle 
Filter 


Mangle 
NAT (Dst 


NAT (Src) 
Conntrack 


Conntrack 
Mangle 
NAT (Dst) 
Filter 


NAT (Src) 
Conntrack 


11-2 1IPv4 检查 点 对 应 的 钩子 函数 


在 上 述 对 数据 包 处 理 的 过 程 中 ， 这 些 钧 子 函数 会 调用 Iptables 工具 加 入 的 与 这 个 函数 
相关 的 规则 ， 对 流 经 它 的 数据 包 进 行 处 理 ， 从 而 完成 用 户 指定 的 网 络 安全 防护 任务 。 因 此 
Iptables 是 一 个 管理 工具 ， 管 理 员 通过 它 向 Netfilter 框架 系统 添加 过 滤 规 则 ， 而 运用 这 些 
规则 对 数据 包 进行 处 理 的 则 是 Netfilter 框架 系统 。 对 于 我 们 来 说 ， 重 要 的 是 掌握 Iptables 
这 个 工具 ， 学 会 利用 它 向 内 核 添 加 规则 。 


11.2.2 “lptables 简介 


Iptables 的 作用 就 是 添加 Netfilter 提供 规则 ， 这 些 规则 告诉 Netfilter 对 于 从 某 些 地 方 
来 、 到 某 些 地 方 去 的 或 者 具有 某 些 特定 特征 的 数据 包 采 用 什么 样 的 动作 。 如 果 一 个 数据 包 
与 一 条 规则 匹配 ， 那 么 Netfilter 上 的 钩子 函数 就 会 使 用 规则 所 指定 的 目标 (ACCEPT、 
REJECT、DROP) 人 允许 该 数据 包 通 过 或 者 阻塞 该 数据 包 。 

在 Iptables 中 ， 一 条 规则 只 定义 某 一 种 类 型 的 数据 包 ， 要 定义 多 种 类 型 的 数据 包 就 需 
要 使 用 多 条 规则 。 如 果 定 义 的 多 条 规则 均 被 同一 钩子 函数 调用 的 话 ， 那 么 就 把 被 同一 个 钩 
子 函数 处 理 的 多 条 规则 称 为 一 条 规则 链 。Iptables 维护 的 5 条 规则 链 与 Netfilter 中 定义 的 5 
个 钩子 函数 一 应 对 应 ， 分 别 是 : PREROUTING 、FORWARD 、POSTROUNTING 、 
INPUT、OUTPUT。 

也 就 是 说 ， 当 使 用 FORWARD 规则 链 设置 的 规则 时 ， 不 管 指 定 了 多 少 条 规则 ， 它 们 
都 会 被 钩子 函数 NF_IP FORWARD 调用 。 同 样 对 于 其 他 的 规则 链 也 是 一 样 。 

上 面 提 到 ， 管 理 员 利用 Iptables 添加 规则 ， 规 则 就 是 和 数据 包 匹 配 的 条 件 ， 每 条 规则 
后 面 还 指定 了 目标 ， 对 符合 规则 的 数据 包 采 取 什 么 样 的 动作 。 那 么 除了 给 规则 设 定 目 标 
外 ， 还 需要 给 指定 的 规则 链 设 定 默认 的 策略 。 数 据 包 如 何 和 规则 链 所 有 的 规则 都 不 匹配 的 
话 ， 应 该 对 数据 包 采 取 什 么 样 的 动作 ， 是 丢弃 还 是 放行 。 禁 止 一 切 的 默认 策略 是 推荐 的 方 
法 。 数 据 包 和 规则 链 中 的 规则 匹配 时 ， 是 自 顶 向 下 开始 的 ， 第 一 条 规则 如 果 和 数据 包 不 匹 
配 ， 就 和 第 二 条 规则 匹配 。 如 果 与 第 二 条 数据 包 匹 配 ， 就 执行 第 二 条 规则 中 定义 的 目标 ， 
而 不 用 再 和 第 三 条 规则 去 匹配 了 。 图 11-3 给 出 了 数据 包 匹 配 规则 的 流程 图 。 
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11-3 “Iptables 规则 匹配 流程 图 


为 方便 管理 ，Iptables 规则 被 组 织 在 单个 不 同 的 规则 表 中 : filter、nat 和 mangle。 其 中 
filter 表 中 的 规则 链 主 要 用 于 数据 包 过 滤 ，nat 表 中 规则 链 用 于 地 址 转换 ，mangle 表 中 规则 
链 用 于 策略 路 由 和 特殊 应 用 。 以 下 是 每 张 表 中 所 包含 的 规则 链 : 

©® filter: INPUT、FORWARD、OUTPUT。 

© nat: PREROUTING、POSTROUTING、OUTPUT。 

© mangle: OUTPUT、 POSTROUTING. 

设 定 规则 时 ， 首 先是 指明 你 选用 的 表 ， 然 后 制定 表 的 规则 链 。 没 有 指定 表 的 情况 下 ， 
系统 默认 使 用 filter 表 。 


11.3 ”Iptables 的 安装 和 配置 


11.3.1 “Iptables 的 安装 


在 CentOS 5 中 ， 用 户 如 果 在 系统 安装 时 完全 安装 或 者 定制 了 防火 墙 套件 ， 就 会 安装 
Iptables 软件 包 。 可 以 使 用 rpm 查询 命令 查询 是 否 已 经 安装 了 Iptables 软件 包 ， 如 下 所 示 : 


# rpm -qa iptables 
iptables-1.3.5-5.3.815 4.1 


如 上 述 命令 结果 没有 输入 ， 则 说 明 系 统 中 没有 安装 Iptables 软件 包 ， 则 可 以 加 载 
CentOS 光盘 后 ， 进 入 到 CentOS 目录 ， 用 下 面 命 令 安 装 即 可 : 


cd /media/CentOs*/CentOs*/ 
#rpm -ivh iptables* 


当然 ， 用 户 也 可 以 选择 通过 yum 安装 或 者 通过 下 载 源 码 进行 编译 安装 。 
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11.3.2 “lptables 的 启动 和 关闭 


(1) 启动 防火 墙 可 以 使 用 如 下 命令 : 

# service iptables start 

或 者 

# /etc/rc.d/init.d/iptables start 
显示 结果 如 下 所 示 : 


应 用 iptables 防火 墙 规 则 : [确定 ] 
载 入 额外 iptables 模块 : ip_conntrack netbios ns [确定 ] 


(2) 停止 防火 墙 : 

# service iptables stop 

或 者 

# /etc/rc.d/init.d/iptables stop 
显示 结果 如 下 所 示 : 


清除 防火 墙 规则 : [确定 ] 
把 chains 设置 为 ACCEPT 策略 : filter [确定 ] 
正在 和 卸载 Tiptables 模块 [确定 ] 


(3) 重启 防火 墙 : 

# service iptables restart 

或 者 

# /etc/rc.d/init.d/iptables start 
(4) 设置 防火 墙 开 机 自 启动 : 

# chkconfig iptables on 

关闭 防火 墙 : 

# service iptables stop 


关闭 防火 墙 开 机 自 启动 : 


# chkconfig iptables off 


11.3.3 “Iptables 的 配置 文件 


件 


Iptables 的 主要 配置 文件 有 两 个 ，/etc/sysconfig/iptables 是 用 来 保存 iptables 规则 的 文 
/etc/sysconfig/iptables-config 是 用 来 存放 iptables 加 载 时 所 用 的 模块 。 


1. 查看 /etc/sysconfig/iptables 配置 文件 内 容 
使 用 下 面 命令 查看 /etc/sysconfig/iptables 中 内 容 : 
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# more /etc/sysconfig/iptables 


显示 iptables 规则 的 结果 如 下 所 示 : 


# more /etc/sysconfig/iptables 

# more /etc/sysconfig/iptables; 

# Firewall configuration written by system-config-securitylevel 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

:RH-Firewall-1-INPUT - [0:0] 

-A INPUT -] RH-Firewall-1-INPUT 

-A FORWARD -]j RH-Firewall-1-INPUT 

-A RH-Firewal1-1-INPUT -i lo -j ACCEPT 

-A RH-Firewal1-1-INPUT -p icmp --icmp-type any -]j ACCEPT 

-A RH-Firewal1-1-INPUT -p 50 -j ACCEPT 

-A RH-Firewall-1-INPUT -p 51 -] ACCEPT 

-A RH-Firewal1-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j] ACCEPT 
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -] ACCEPT 

-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -]j ACCEPT 

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -] ACCEPT 
-A RH-Firewal1-1-INPUT -j REJECT --reject-with icmp-host-prohibited 
COMMIT 


2. 保存 当前 Iptables 规则 


使 用 Iptables 在 命令 行 添 加 的 规则 能 立即 生效 ， 但 这 些 规则 保存 在 内 存 中 ， 如 果 重启 
Iptables 或 计算 机 ， 那 么 刚刚 添加 的 规则 都 会 丢失 。 如 希望 添加 的 规则 在 重启 Iptables 或 计 
算 机 后 依然 生效 ， 就 应 将 这 些 规 则 保存 在 /etc/sysconfig/iptables 文件 中 。 可 以 用 以 下 命令 
实现 : 


# service iptables save 
或 者 运行 
# iptables-save 


输出 显示 结果 如 下 : 


# service iptables save 


将 当前 规则 保存 到 /etc/sysconfig/iptables: [确定 ] 


执行 上 面 命令 后 ，Iptables 会 运行 /sbin/iptables-save 程序 ， 将 规则 写 入 到 
/etc/sysconfig/iptables 文件 中 。 该 命令 只 有 管理 员 用 户 才能 执行 ， 因 为 Iptables 文件 的 权限 
如 下 所 示 : 


# 11 iptables 
二 = 1 root root 1538 03-22 09:27 iptables 


3. 保存 Iptables 规则 到 文件 
# iptables-save > iptables.bak 


该 命令 用 于 将 目前 的 iptables 规则 备份 至 iptables.bak 文件 中 。 
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4. 从 文件 恢复 Iptables 规则 
iptables-restore < iptables .bak 


该 命令 用 于 将 iptables.bak 文件 中 的 规则 恢复 到 当前 的 iptables 中 。 
11.4 1Iptables 规则 配置 


从 内 核 来 看 ， 规 则 就 是 决定 如 何 处 理 一 个 语句 。 如 果 一 个 包 符 合 所 有 的 条 件 我 们 就 运 
行 目标 或 者 调用 自 定义 规则 链 。 规 则 语法 格式 如 下 (如 图 11-4 所 示 ): 
iptables [-t 表 名 ] < 命令 > [ 链 名 ] [规则 号 ] [规则 ] [-j 目标 ] 


-t 选项 用 于 指定 所 使 用 的 表 ，Iptables 防火 墙 默认 有 filter、nat 和 mangle 三 张 表 ， 也 
可 以 是 用 户 自 定义 的 表 。 表 中 包含 了 分 布 在 各 个 位 置 的 链 ，iptables 命令 所 管理 的 规则 就 
是 存在 于 各 种 链 中 的 。 该 选项 不 是 必需 的 ， 如 果 未 指定 一 个 具体 的 表 ， 则 默认 使 用 的 是 
filter 表 。 


-BC-protocoD ACCEPT 
-sk--source) DROPT 
——— | destinatior) 
通用 区 配 1-(-in-interface) MARK [| -tok 
“pte ey DNAT 。 |-eaeettion 
-fk--fragnent) --dport 
2 eq “tcp-flags SNAT PH -tesour 
本 -syn 
温 -| Fogwanm TCP match -tcp-optio 
ustumunE 上 | -topor 
和 隐 仿 匹配 上 | UDP match sport 
-port REDIRECT 上 | -toporbe 
x 
1 ar ICMP match -icmp-type pr 
i LOG rs 
记过 有 Ta ~]---| i 
Iptables nat A ae OUIPUT tp 
| | MAG match -| aacsowes QUEUE | baeeaam | 
ED Mark match ~ REJECT -tejecl-wih 
< 
显示 匹配 RE RETURI 和 
示 | 
| Tos match 一 
wi ULOG Fr 
gd 全 二 Siate matth -SOUCe-pat bedhrehald 
mange :ef | UIPoT ~destnation-port 
= nd | Tos era 
E [vid-owner, -gid-owner i 
针对 非 正常 包 的 匹 -Piowner sid-owner TIT eeee 
binx 
iptables+[-t table]+COMMAND+CHAIN [NO.] +[MATCH] +[-j TARGET] 


图 11-4 Iptables 的 用 法 


Iptables 的 命令 选项 是 必须 要 有 的 ， 它 告诉 Iptables 要 做 什么 事情 ， 是 添加 规则 、 修 改 
规则 还 是 删除 规则 。 有 些 命令 选项 后 面 要 指定 具体 的 链 名 称 ， 而 有 些 可 以 省 略 ， 此 时 ， 是 
对 所 有 的 链 进行 操作 。 还 有 一 些 命令 要 指定 规则 号 。 具 体 的 命令 选项 名 称 及 其 与 后 续 选项 
的 搭配 形式 如 下 所 示 。 

示例 1: 

-A < 链 名 > < 规则 > 
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功能 : 在 指定 链 的 末尾 添加 一 条 或 多 条 规则 。 
示例 2: 
-D < 链 名 > < 规则 > -D < 链 名 > < 规则 号 > 


功能 : 从 指定 的 链 中 删除 一 条 或 多 条 规则 。 可 以 按照 规则 的 序号 进行 删除 ， 也 可 以 删 


除 满足 匹配 条 件 的 规则 。 


则 。 


示例 3: 

-R < 链 名 > < 规则 号 > < 规则 > 

功能 : 在 指定 的 链 中 用 新 的 规则 置换 掉 某 一 规则 号 的 旧 规则 。 

示例 4: 

-I < 链 名 > [规则 号 ] < 规则 > 

功能 : 在 给 出 的 规则 序号 前 插入 一 条 或 多 条 规则 ， 如 果 没 有 指定 规则 号 ， 则 默认 是 1。 
示例 5: 

-LL [ 链 名 ] 

功能 : 列 出 指定 链 中 的 所 有 规则 ， 如 果 没 有 指定 链 ， 则 所 有 链 中 的 规则 都 将 被 列 出 。 
示例 6: 

-FE [ 链 名 ] 

功能 : 删除 指定 链 中 的 所 有 规则 ， 如 果 没 有 指定 链 ， 则 所 有 链 中 的 规则 都 将 被 删除 。 
示例 7: 

-N < 链 名 > 

功能 ， 建立 一 个 新 的 用 户 自 定义 链 。 

示例 8: 

-X [ 链 名 ] 

功能 : 删除 指定 的 用 户 自 定义 链 ， 这 个 链 必须 没有 被 引用 ， 而 且 里 面 也 不 包含 任何 规 
如 果 没 有 给 出 链 名 ， 这 条 命令 将 试 着 删除 每 个 非 内 建 的 链 。 

示例 9: 

-P < 链 名 > < 目标 > 


功能 : 为 指定 的 链 设置 规则 的 默认 目标 ， 当 一 个 数据 包 与 所 有 的 规则 都 不 匹配 时 ， 将 


采用 这 个 默认 的 目标 动作 。 


示例 10: 
-E < 旧 链 名 > < 新 链 名 > 


功能 : 重新 命名 链 名 ， 对 链 的 功能 没有 影响 。 
以 上 是 有 关 Iptables 命令 格式 中 有 关 命 令 选 项 部 分 的 解释 。Iptables 命令 格式 中 的 规则 


部 分 由 很 多 选项 构成 ， 主 要 指定 一 些 卫 数据 包 的 特征 。 例 如 ， 上 一 层 的 协议 名 称 、 源 中 
地 址 、 目 的 他 地 址 、 进 出 的 网 络 接口 名 称 等 ， 下 面 列 出 构成 规则 的 常见 选项 。 
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-p< 协 议 类 型 >: 指定 上 一 层 协议 ， 可 以 是 itmp、tcp、udp 和 all。 
-s<IP 地 址 / 掩 码 >: 指定 源 瑟 地 址 或 子 网 。 

-d<IP 地 址 / 掩 码 >: 指定 目的 他 地址 或 子 网 。 

-i< 网 络 接口 >: 指定 数据 包 进入 的 网 络 接口 名 称 。 
-0< 网 络 接口 > 指定 数据 包 出 去 的 网 络 接口 名 称 。 


上 述 选项 可 以 进行 组 合 ， 每 一 种 选项 后 面 的 参数 前 可 以 加 “!”， 表 示 取 反 。 
对 于 -p 选项 来 说 ， 确 定 了 协议 名 称 后 ， 还 可 以 有 进一步 的 子 选 项 ， 以 指定 更 细 的 数据 


包 特 征 。 


常见 的 子 选项 如 下 所 示 。 

-ptcp --sport <port>: 指定 TCP 数据 包 的 源 端 口 。 

-ptcp --dport <port>: 指定 TCP 数据 包 的 目的 端口 。 

-p tcp --syn: 具有 SYN 标志 的 TCP 数据 包 ， 该 数据 包 要 发 起 一 个 新 的 TCP 
连接 。 

-p udp --sport <port>: 指定 UDP 数据 包 的 源 端口 。 

-pudp --dport <port>: 指定 UDP 数据 包 的 目的 端口 。 

-p icmp --icmp-type <type>: 指定 icmp 数据 包 的 类 型 ， 可 以 是 echo-reply、echo- 
request 等 。 


上 述 选 项 中 ，port 可 以 是 单个 端口 号 ， 也 可 以 是 以 portl:port2 表示 的 端口 范围 。 每 一 
选项 后 的 参数 可 以 加 “!”， 表 示 取 反 。 
上 面 介绍 的 这 些 规则 选项 都 是 ptables 内 置 的 ，Iptables 软件 包 还 提供 了 一 套 扩展 的 规 


则 选项 。 


使 用 时 需要 通过 -m 选项 指定 模块 的 名 称 ， 再 使 用 该 模块 提供 的 选项 。 下 面 列 出 


几 个 模块 名 称 和 其 中 的 选项 ， 大 部 分 的 选项 也 可 以 通过 “!” 取 反 。 


-m multiport --sports <port port, ...> 功能 : 指定 数据 包 的 多 个 源 端口 ， 也 可 以 以 

portl:port2 的 形式 指定 一 个 端口 范围 。 

-m multiport --dports <port, port, .> 功能 : 指定 数据 包 的 多 个 目的 端口 ， 也 可 以 
以 portl:port2 的 形式 指定 一 个 端口 范围 。 

-m multiport --ports <port, port, ...> 功能 : 指定 数据 包 的 多 个 端口 ， 包 括 源 端 口 和 
目的 端口 ， 也 可 以 以 portl:port2 的 形式 指定 一 个 端口 范围 。 

-m state --state <state> 功能 : 指定 满足 某 一 种 状态 的 数据 包 ，state 可 以 是 
INVALID、ESTABLISHED、NEW 和 RELATED 等 ， 也 可 以 是 它们 的 组 合 ， 
“,” 分 隔 。 

-m connlimit  --connlimit-above <n> 功能 : 用 于 限制 客户 端 到 一 台 主 机 的 TCP 
并 发 连接 总 数 ，n 是 一 个 数值 。 

-m mac --mac-source <address> 功能 : 指定 数据 包 的 源 MAC 地 址 ，address 
是 xx:XX:XX:XX:XX:XX 形式 的 48 位 数 。 

-m 选项 可 以 提供 的 模块 名 和 子 选项 内 容 非 常 多 ， 为 Iptables 提供 了 非常 强大 、 细 
致 的 功能 ， 所 有 的 模块 名 和 子 选 项 可 以 通过 “man iptables” 命 令 查看 Iptables 命 
令 的 手册 页 获得 。 


最 后 ，Iptables 命令 中 的 -j 选项 可 以 对 满足 规则 的 数据 包 执行 指定 的 操作 ， 其 后 的 
“目标 ”可 以 是 以 下 内 容 。 


第 11 章 Linux 服务 器 安全 技术 313 


@ Jj ACCEPT: 将 与 规则 匹配 的 数据 包 放 行 ， 并 且 该 数据 包 将 不 再 与 其 他 规则 匹 
配 ， 而 是 跳 向 下 一 条 链 继续 处 理 。 

@ ”Jj REJECT: 拒绝 所 匹配 的 数据 包 ， 并 向 该 数据 包 的 发 送 者 回复 一 个 ICMP 错误 通 
知 。 该 处 理 动作 完成 后 ， 数 据 包 将 不 再 与 其 他 规则 匹配 ， 而 且 也 不 跳 向 下 一 条 链 。 

@ -jj DROP: 丢弃 所 匹配 的 数据 包 ， 不 回复 错误 通知 。 该 处 理 动作 完成 后 ， 数 据 包 
将 不 再 与 其 他 规则 匹配 ， 而 且 也 不 跳 向 下 一 条 链 。 

@ -jj REDIRECT: 将 匹配 的 数据 包 重 定向 到 另 一 个 位 置 ， 该 动作 完成 后 ， 会 继续 与 
其 他 规则 进行 匹配 。 

e@ -j LOG: 将 与 规则 匹配 的 数据 包 的 相关 信息 记录 在 日 志 (varlog/message) 中 ， 并 
继续 与 其 他 规则 匹配 。 

@ ”Jj < 规则 链 名 称 >: 数据 包 将 会 传递 到 另 一 规则 链 ， 并 与 该 链 中 的 规则 进行 匹配 。 

除了 上 述 目标 动作 外 ， 还 有 一 些 与 NAT 有 关 的 目标 ， 将 在 后 面 章节 中 讲述 。 所 有 的 

目标 也 可 以 通过 查看 Iptables 命令 的 手册 页 获得 。 


11.5 ”防火 墙 规则 设 定 


11.5.1 Linux 防火 墙 的 默认 规则 


在 Linux 系统 中 ， 可 以 通过 使 用 Iptables 命令 构建 各 种 类 型 的 防火 墙 。CentOS 5 操作 
系统 默认 安装 时 ，Iptables 防火 墙 已 经 安装 ， 并 且 开 机 后 会 自动 添加 了 一 些 规则 ， 这 些 规 
则 实际 上 是 由 /etc/sysconfig 目录 中 的 Iptables 文件 决定 的 。 可 以 通过 “iptables -L ”命令 查 
看 这 些 规则 ， 如 果 用 户 未 在 防火 墙 打开 端口 ， 结 果 将 显示 如 下 所 示 。 


# iptables -L --line-number 


Chain INPUT (policy ACCEPT) //INPUT 规则 链 

num target prot opt source destination 

1 RH-Firewal1-1-INPUT all -- anywhere anywhere 
Chain FORWARD (policy ACCEPT) // FORWARD 规则 链 
num target prot opt source destination 

1 RH-Firewal1-1-INPUT all -- anywhere anywhere 
Chain OUTPUT (policy ACCEPT) // OoUTPUT 规则 链 
num target prot opt source destination 


Chain RH-Firewal1-1-INPUT (2 references) // 自 定义 规则 链 


num target prot opt source destination 

1 ACCEPT all -- anywhere anywhere 

2 ACCEPT icmp -— anywhere anywhere icmp any 

3 ACCEPT esp -- anywhere anywhere 

4 ACCEPT ah -- anywhere anywhere 

5 ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mqdns 
6 ACCEPT udp -- anywhere anywhere udp dpt:ipp 
过 ACCEPT tcp -- anywhere anywhere tcp dpt:ipp 
8 ACCEPT all -- anywhere anywhere state 
RELATED, ESTABLISHED 

9 REJECT all -- anywhere anywhere reject-with 


icmp-host-prohibited 
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由 上 面 结果 可 知 ，iptables -L 默认 列 出 的 是 filter 表 中 的 规则 链 ，filter 表 中 总 共有 4 
条 规则 链 。 其 中 ，INPUT、FORWARD 和 OUTPUT 链 是 内 置 的 ， 而 RH-Firewall-1-INPUT 
链 是 可 由 用 户 自己 添加 的 自 定义 规则 链 。 


1.， 规则 列 的 含义 


由 上 面 返回 结果 看 出 ， 在 防火 墙 规则 中 每 一 条 规则 列 出 了 5 项 内 容 
target 列表 示 规 则 的 动作 目标 。 
prot 列表 示 该 规则 指定 的 上 层 协议 名 称 ，all 表示 所 有 的 协议 。 
opt 列 出 了 规则 的 一 些 选 项 。 
source 列表 示 数 据 包 的 源 他 地 址 或 子 网 ， 
@ 。 destination 列表 示 数 据 包 的 目的 卫 地 址 或 子 网 ，anywhere 表示 所 有 的 地 址 。 
除了 上 述 5 项 以 外 ， 如 果 存 在 ， 每 一 条 规则 的 最 后 还 要 列 出 一 些 子 选 项 。 
如 果 执 行 iptables 命令 时 加 了 -v 选项 ， 则 还 可 以 列 出 每 一 条 规则 当前 匹配 的 数据 包 
数 、 字 节 数 ， 以 及 要 求 数据 包 进来 和 出 去 的 网 络 接口 。 如 果 加 上 -n 选项 ， 则 不 对 显示 结果 
中 的 瑟 地 址 和 端口 做 名 称 解 析 ， 直 接 以 数字 的 形式 显示 。 


2. 规则 的 解释 


INPUT 链 中 的 第 1 条 规则 target 列 的 内 容 是 RH-Firewall-1-INPUT，opt 列 是 all， 
source 和 destination 列 均 为 anywhere， 表 示 所 有 的 数据 包 都 交 给 自 定义 的 RH-Firewall-1- 
INPUT 链 去 处 理 。FORWARD 链 的 第 1 条 规则 2 与 规则 1 完全 一 样 。OUTPUT 链 中 没有 
规则 。 

RH-Firewall-1-INPUT 规则 链 中 ， 列 出 了 很 多 的 规则 ， 第 1 条 规则 表示 接收 所 有 的 数 
据 包 。 需 要 注意 的 是 ， 如 果 在 Iptables 中 加 -v 选项 列 出 这 条 规则 时 ， 将 会 看 到 in 列 是 lo， 
即 要 求 数据 包 是 从 环 回 接口 中 进来 的 ， 而 不 是 任意 网 络 接口 进来 的 数据 包 都 接收 。 第 2 条 
规则 表示 接收 所 有 icmp 数据 包 ， 而 且 在 OUTPUT 链 中 没有 规则 ， 即 发 送 数据 包 不 会 受 
限 ， 因 此 本 机 的 ICMP 回复 数据 包 也 能 正常 回复 ， 即 ping 命令 可 以 正常 使 用 。 第 3、4 条 
规则 表示 接收 所 有 的 esp 和 ah 协议 的 数据 包 ， 这 两 种 协议 属于 IPv6 协议 。 第 5 条 规则 表 
示 目 的 地 址 是 224.0.0.251， 目 的 端口 是 mdns 的 UDP 数据 包 人 允许 通过 ，224.0.0.251 是 一 
种 组 播 地 址 ，mdns 是 端口 号 的 一 种 名 称 ， 如 果 执行 Iptables 命令 时 加 了 -n 选项 ， 则 会 显 
示 数 字 5353， 它 是 组 播 地 址 的 DNS 端口 。 第 6、7 条 规则 表示 允许 所 有 目的 端口 是 ipp 的 
UDP 和 TCP 数据 包 通 过 ，ipp 是 端口 631 的 名 称 解析 ， 它 是 用 于 网 络 打印 服务 的 端口 。 第 
8 条 规则 表示 所 有 状态 是 RELATED 和 ESTABLISHED 的 数据 包 通过 ，RELATED 状态 表 
示 数 据 包 要 新 建 一 个 连接 ， 而 且 这 个 要 新 建 的 连接 与 现存 的 连接 是 相关 的 ， 如 FTP 的 数 
据 连接 。ESTABLISHED 表示 本 机 与 对 方 建立 连接 时 ， 对 方 回应 的 数据 包 ， 表 明 双 方 已 经 
建立 了 数据 链 路 。 第 9 条 规则 表示 拒绝 所 有 的 数据 包 ， 并 向 对 方 回应 icmp-host-prohibited 
数据 包 。 


3. 规则 的 顺序 


需要 再 次 提醒 的 是 ， 这 些 规 则 是 有 次 序 的 。 当 一 个 数据 包 进入 RH-Firewall-1-INPUT 
链 后 ， 将 依次 与 规则 1 至 规则 8 进行 比较 。 按 照 这 些 规则 的 目标 设置 ， 如 果 数 据 包 能 与 规 
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则 1 至 9 中 的 任 一 条 匹配 ， 则 该 数据 包 将 被 接收 。 如 果 都 不 能 匹配 ， 则 肯定 能 和 规则 9 匹 
配 ， 于 是 数据 包 被 拒绝 。 


11.5.2 ”Linux 防火 墙 规则 操作 方法 


防火 墙 功 能 可 以 应 用 在 多 种 位 置 ， 可 以 安装 在 某 一 台 主 机 上 ， 主 要 用 于 保护 主机 本 身 
的 安全 ; 可 以 安装 在 网 络 中 的 某 一 节点 ， 专 门 用 于 保护 网 络 中 其 他 计算 机 的 安全 ;， 也 可 以 
为 内 网 的 客户 机 提供 NAT 服务 ， 使 内 网 的 客户 机 共用 一 个 公 网 臣 ， 以 便 节 省 人 地 址 资 
源 。 下 面 首先 介绍 一 下 主机 防火 墙 的 应 用 示例 。 

当 一 台 服 务 器 为 外 界 提供 比较 重要 的 服务 ， 或 者 一 台 客 户 机 在 不 安全 的 网 络 环境 中 使 
用 时 ， 都 需要 在 计算 机 上 安装 防火 墙 ， 以 最 大 限度 地 防止 主机 受到 外 界 的 攻击 。 用 户 可 以 
根据 自己 主机 的 功能 关闭 已 经 开放 的 端口 ， 或 者 开放 更 多 的 端口 ， 以 便 允 许 符合 更 多 规则 
的 数据 包 通 过 。 

1. 在 用 户 自 定义 规则 链 中 添加 规则 


例如 ， 为 了 使 主机 能 为 外 界 提 供 telnet 服务 ， 除 了 配置 好 telnet 服务 器 外 ， 还 需要 开 
放 TCP 的 23 号 端口 。 因 为 在 默认 的 防火 墙 配置 中 ， 并 不 允许 目的 端口 为 23 的 TCP 数据 
包 进入 主机 。 为 了 开放 TCP23 号 端口 ， 可 以 有 两 种 办 法 ， 一 种 是 在 RH-Firewall-1-INPUT 
链 中 加 入 相应 的 规则 ， 还 有 一 种 是 把 规则 加 到 INPUT 链 中 。 但 需要 注意 的 是 ， 规 则 是 有 
次 序 的， 如 果 使 用 以 下 命令 ， 则 是 没有 效果 的 。 


# iptables -A RH-Firewal1-1-INPUT -p tcp --dport 23 -]j ACCEPT 


上 述 命 令 执 行 后 ， 可 以 再 次 查看 规则 情况 。 


# iptables -L -n --line-number 


Chain RH-EFirewal1-1-INPUT (2 references) 


num target prot opt source destination 

… // 省 略 

11 ACCEPT ep: == .00295070 0.0.0.0/0 state NEW tcp dpt:80 
12 ACCEPT tep -== 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 
13 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host- 
prohibited 

14 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 


可 以 看 到 ， 新 添加 的 规则 位 于 最 后 的 位 置 。 由 于 所 有 的 数据 包 都 可 以 与 目标 动作 为 
REJECT 的 规则 号 为 13 的 规则 匹配 ， 而 REJECT 代表 的 是 拒绝 ， 因 此 数据 包 到 达 新 添加 
的 规则 前 肯定 已 被 丢弃 ， 这 条 规则 是 不 会 被 使 用 的 。 为 了 解决 这 个 问题 ， 需 要 把 上 述 规 则 
插入 到 现 有 的 规则 中 ， 要 位 于 规则 13 的 前 面 。 下 面 是 正确 地 开放 TCP23 号 端口 的 命令 。 


# iptables -I RH-Firewall-1-INPUT 11 -p tcp --dport 23 -j] ACCEPT 


以 上 命令 中 ，“-I RH-Firewall-1-INPUT 11” 表 示 在 RH-Firewall-1-INPUT 链 原来 的 规 
则 11 前 面 插入 一 条 新 规则 ， 规 则 内 容 是 接收 目的 端口 为 23 的 TCP 数据 包 。 
如 果 希 望 新 加 的 规则 与 原来 的 规则 11、12 等 类 似 ， 可 以 执行 以 下 命令 。 


# iptables -I RH-Firewall-1-INPUT 11 -m state --state NEW -p tcp --dport 
23 -j ACCEPT 
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以 上 是 在 RH-Firewall-1-INPUT 链 中 添加 规则 ， 以 开放 TCP23 号 端口 。 
2. 在 INPUT 规则 链 添加 规则 
还 有 一 种 开放 TCP23 号 端口 的 方法 是 在 INPUT 链 中 添加 规则 ， 具 体 命令 如 下 所 示 。 


# iptables -I INPUT 1 -p tcp --dport 23 -j] ACCEPT 
# iptables -L --line-number 
Chain INPUT (policy ACCEPT) 


num target prot opt source destination 
1 ACCEPT LT anywhere anywhere tcp dpt:telnet 


2 RH-Firewall-1-INPUT all —- anywhere anywhere 


注意 : 添加 的 规则 也 要 位 于 原来 规则 2 的 前 面 ， 否 则 ， 任 何 数据 包 都 匹配 规则 2， 将 
会 跳 到 RH-Firewall-1-INPUT 链 ， 并 且 不 再 回来 。 因 此 ， 添 加 在 规则 2 后 面 的 规则 都 是 无 
效 的 。 


3. 删除 防火 墙 规则 
如 需要 删除 前 面 无 效 规则 ， 可 以 执行 以 下 命令 。 


# iptables -D RH-Firewall-1-INPUT 11 


在 上 面 的 命令 中 ，11 是 RH-Firewall-1-INPUT 规则 表 中 规则 的 序号 ， 可 根据 用 户 的 具 
体 要 求 加 以 改变 。 


4. 清空 防火 墙 规则 


在 很 多 的 时 候 ， 用 户 可 能 希望 从 最 初 的 状态 开始 ， 构 建 自己 的 防火 墙 。 为 了 从 零 开始 
设置 iptables 防火 墙 ， 可 以 用 以 下 命令 清空 防火 墙 中 所 有 的 规则 。 


# iptables -F 


然后 再 根据 要 求 ， 添 加 自己 的 防火 墙 规则 。 一 般 情况 下 ， 保 护 防火 墙 所 在 主机 的 规则 
都 添加 在 INPUT 内 置 链 中 ， 以 挡住 外 界 访问 本 机 的 部 分 数据 包 。 本 机 向 外 发 送 的 数据 包 
只 经 过 OUTPUT 链 ， 一 般 不 予 限制 。 如 果 不 希望 本 机 为 外 界 数据 包 提供 路 由 转发 功能 ， 
可 以 在 FORWARD 链 中 添加 一 条 拒绝 一 切 数据 包 通 过 的 规则 ， 或 者 干脆 在 内 核 中 设置 不 
转发 任何 数据 包 。 


11.5.3 Linux 防火 墙 规则 操作 示例 


当 设 置 主机 防火 墙 时， 一 般 采 取 先 放行 ， 最 后 全 部 禁止 的 方法 。 也 就 是 说 ， 根 据 主机 
的 特点 ， 规 划 出 允许 进入 主机 的 外 界 数据 包 ， 然 后 设计 规则 放行 这 些 数 据 包 。 如 果 某 一 数 
据 包 与 放行 数据 包 的 规则 都 不 匹配 ， 则 与 最 后 一 条 禁止 访问 的 规则 匹配 被 拒绝 进入 主机 。 
下 面 列 出 一 些 主机 防火 墙 中 常用 的 iptables 命令 及 其 解释 ， 这 些 命令 添加 的 规则 都 放 在 
filter 表 的 INPUT 链 中 。 

示例 1: 

iptables -A INPUT -p tcp --dport 80 -]j ACCEPT 
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功能 : 允许 目的 端口 为 80 的 TCP 数据 包 通 过 INPUT 链 。 

说 明 : 这 种 数据 包 一 般 是 用 来 访问 主机 的 Web 服务 ， 如 果 主 机 以 默认 的 端口 提供 
Web 服务 ， 应 该 用 这 条 规则 开放 TCP80 端口 。 

示例 2: 

iptables -A INPUT -s 192.168.1.0/24 -i eth0 -]j DROP 


功能 : 从 接口 eth0 进来 的 、 源 卫 地 址 的 前 3 字 节 为 192.168.1 的 数据 包 了 予以 丢弃 。 

说 明 : 需要 注意 这 条 规则 的 位 置 ， 如 果 匹 配 这 条 规则 的 数据 包 同 时 也 匹配 前 面 的 规 
则 ， 而 且 前 面 的 规则 是 放行 的 ， 则 这 条 规则 对 匹配 的 数据 包 将 不 起 作用 。 

示例 3: 

iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -]j ACCEPT 


功能 : 在 INPUT 链 中 允许 源 端 口号 为 33， 目 标 端口 号 为 1024 至 65535 的 UDP 数据 
包 通 过 。 

说 明 : 这 种 特点 的 数据 包 是 当 本 机 查询 DNS 时 ，DNS 服务 器 回复 的 数据 包 。 

示例 4: 

iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -]j ACCEPT 


功能 : SYN、RST、ACK 三 个 标志 位 中 SYN 位 为 1， 其 余 两 个 为 0 的 TCP 数据 包 了 予 
以 放行 。 符 合 这 种 特征 的 数据 包 是 发 起 TCP 连接 的 数据 包 。 

说 明 : “--tcp-flags” 子 选项 用 于 指定 TCP 数据 包 的 标志 位 ， 可 以 有 SYN、ACK、 
FIN、RST、URG 和 PSH 共 6 种 。 当 这 些 标 志 位 作为 “--tcp-flags” 的 参数 时 ， 用 空格 分 
成 两 部 分 。 前 一 部 分 列 出 有 要 求 的 标志 位 ， 用 “,” 分 隔 ， 后 一 部 分 列 出 要 求 值 为 1 的 标 
志 位 ， 如 果 有 多 个 ， 也 用 “,” 分 隔 ， 未 在 后 一 部 分 列 出 的 标志 位 其 值 要 求 为 0。 

注意 : 这 条 命令 因为 经 常 使 用 ， 可 以 用 “--syn” 代 替 “--tcp-flags SYN.RST.ACK 
SYN” 。 

示例 5: 

iptables -A INPUT -p tcp -m multiport --dport 20:23,53,80,110 -j] ACCEPT 


功能 : 接收 目的 端口 为 20 至 23、53、80 和 110 号 的 TCP 数据 包 。 

说 明 : “-m multiport” 用 于 指定 多 个 端口 ， 最 多 可 以 有 15 项 ， 用 “,” 分 隔 。 

示例 6: 

iptables -A INPUT -p icmp -m limit --limit 6/m --limit-burst 8 -j] ACCEPT 


功能 : 限制 ICMP 数据 包 的 通过 率 ， 当 一 分 钟 内 通过 的 数据 包 达 到 8 个 时 ， 触 发 每 分 
钟 通过 6 个 数据 包 的 限制 条 件 。 

说 明 ; 以 上 命令 中 ， 除 了 m 表示 分 以 外 ， 还 可 以 用 s( 秒 )、h( 小 时 ) 和 d( 天 )。 这 个 规 
则 主要 用 于 防止 DoS 攻击 。 

示例 7: 

iptables -A INPUT -p udp -m mac --mac-source ! 00:11:22:33:44:55 -]j DROP 


功能 : 拒绝 源 MAC 地 址 不 是 00:11:22:33:44:55 的 UDP 数据 包 。 
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说 明 : 该 规则 不 应 该 放 在 前 面 ， 否 则 ， 大 部 分 的 UDP 数据 包 都 将 被 拒绝 ， 随 后 的 规 
则 将 不 会 使 用 。 


11.5.4 ”使 用 图 形 界面 管理 防火 墙 规则 


在 CentOS 5 中 ， 为 了 使 用 户 能 方便 快捷 构建 Iptables 主机 防火 墙 ， 系 统 提供 了 配置 主 
机 防火 墙 的 图 形 界面 。 在 CentOS 5 的 GNOME 桌面 环境 下 ， 选 择 “ 系 统 ” 一 “管理 ”一 
“安全 级 别 和 防火 墙 ” 命令 后 ， 将 出 现 图 11-5 所 示 的 对 话 框 。 

在 安全 级 别管 理 设置 中 ， 有 两 个 选项 卡 ， 分 别 是 防火 墙 选项 和 SELinux 选项 。 在 对 防 
火 墙 设置 之 前 ， 用 户 应 首先 确认 防火 墙 的 状态 。 

在 “防火 墙 选 项 ”中 ， 选 择 “ 防 火 墙 ”后 面 的 下 拉 菜 单 ， 可 以 选择 防火 墙 的 状态 是 
“启用 ”或 者 “禁用 ”， 单 击 “ 应 用 按钮 即 可 生效 ”。 禁 用 防火 墙 后 系统 将 无 法 得 到 有 效 
防护 ， 因 此 一 般 情况 下 ， 建 议 用 户 开机 Linux 自 带 的 防火 墙 功 能 。 

在 “信任 的 服务 ”的 列表 框 中 已 经 列 出 了 常见 的 网 络 服务 名 称 ， 前 面 选中 的 服务 所 对 
应 的 网 络 端口 是 开放 的 ， 允 许 外 界 的 用 户 访 问 。 如 果 用 户 需要 开放 更 多 的 服务 ， 可 以 选中 
要 开放 的 服务 名 称 ， 再 单 击 “应 用 ”按钮 即 可 。 

如 用 户 需 要 在 防火 墙 的 信任 列表 中 将 其 他 特定 端口 添加 或 者 删除 ， 可 以 单 击 窗口 下 方 
的 “其 他 端口 ”文字 ， 在 防火 墙 中 已 经 添加 的 其 他 端口 及 使 用 的 网 络 传输 协议 将 在 下 方 列 
表 框 中 显示 出 来 。 同 时 在 右 侧 显示 出 “添加 ”和 “删除 ”按钮 ， 用 于 添加 和 删除 “其 他 端 
口 ” 列 表 框 中 列 出 的 端口 。 

如 果 单 击 “ 添 加 ”按钮 ， 将 出 现 图 11-6 所 示 的 对 话 框 。 此 时 ， 可 以 输入 需要 开放 的 
端口 号 ， 并 选择 TCP 或 UDP 协议 ， 然 后 单 击 “ 确 定 ”按钮 ， 在 “其 他 端口 ”列表 框 中 将 
出 现 所 添加 的 端口 号 和 协议 名 称 。 单 击 “ 删 除 ” 按 钮 可 以 删除 列表 框 中 选中 的 端口 。 为 了 
使 添加 或 删除 端口 生效 ， 需 要 单 击 图 11-6 中 的 “应 用 ”按钮 ， 此 时 将 出 现 图 11-7 所 示 的 
对 话 框 ， 要 求 用 户 确认 该 操作 ， 单 击 “ 是 ”按钮 即 可 。 


安全 级 别 设 轩 回回 四 
Ee 
Ble 请 为 人 的 系统 违反 安 守 级 别 。 
安全 级 别 设 轩 
Ere [ET 
上 请 为 你 的 系统 选择 安全 级 别 
| 陆 火 墙 : | 启用 
EEC we ss 
四 添加 端口 加 
防火 墙 :| 启用 Wn:[ | 
信任 的 服务 : 口 FTP 协议 : tcp 了 
(OD NFs4 
SSH | X RNC | WE 
本 本 
口 Teinet pre 
Ports Proto | | 全 添加 Gy 
wen I 
| = Ws 
其 它 端 口 1 
VE 用 @W | | X MBO | | BWEO) VR | Ep 


图 11-5 Linux 安全 级 别 设置 图 11-6 为 防火 墙 添加 端口 
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点 击 “ 是 ”按钮 会 设置 系统 的 安全 级 别 并 覆盖 现存 的 防 
火 雯 配置。 您 确认 要 如 此 吗 ? 


a] 


图 11-7 确认 修改 防火 墙 设置 
以 上 是 通过 图 形 界面 管理 主机 防火 墙 规 则 ， 实 际 的 结果 和 命令 方式 是 一 样 的 。 例 如 ， 


如 果 刚 才 在 图 形 窗口 中 将 “信任 的 服务 ” 设 为 www(HTTP)，“ 其 他 端口 ” 设 为 8080 端口 
并 选择 TCP 协议， 然后 再 到 终端 查看 防火 墙 中 的 规则 时 ， 将 会 发 现 如 下 结果 。 


# more /etc/sysconfig/iptables 

# 显示 结果 如 下 所 示 : 

# Firewall configuration written by system-config-securitylevel 

# Manual customization of this file is not recommended. 

*filter 

:INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [0:0] 

:RH-Firewall-1-INPUT - [0:0] 

-A INPUT -]j RH-Firewall-1-INPUT 

-A FORWARD -]j RH-Firewall-1-INPUT 

-A RH-Firewal1-1-INPUT -i lo -j ACCEPT 

-A RH-Firewal1-1-INPUT -p icmp --icmp-type any -]j ACCEPT 

-A RH-Firewal1-1-INPUT -p 50 -]j ACCEPT 

-A RH-Firewal1-1-INPUT -p 51 -]j ACCEPT 

-A RH-Firewal1-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -]j ACCEPT 
-A RH-Firewal1-1-INPUT -p udp -m udp --dport 631 -j] ACCEPT 

-A RH-Firewal1-1-INPUT -p tcp -m tcp --dport 631 -j] ACCEPT 

-A RH-Firewal1-1-INPUT -m state --state ESTABLISHED,RELATED -] ACCEPT 
-A RH-Firewal1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j 
ACCEPT 

-A RH-Firewal1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 - 
j ACCEPT 

-A RH-Firewal1-1-INPUT -]j REJECT --reject-with icmp-host-prohibited 
COMMIT 


从 以 上 结果 可 以 看 出 ， 与 初始 的 设置 相 比 ， 多 出 了 两 条 规则 : 


-A RH-Firewal1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j 
ACCEPT 
-A RH-Firewal1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j 


也 就 是 说 ， 刚 才 的 图 形 界面 操作 相当 于 输入 了 以 下 命令 。 


#iptables -I RH-Firewall-1-INPUT 13 -m state --state NEW -m tcp -p tcp - 
-dport 80 -j ACCEPT 

#iptables -I RH-Firewall-1-INPUT 13 -m state --state NEW -m tcp -p tcp - 
-dport 8080 -j ACCEPT 


通过 刚刚 的 操作 用 户 可 以 看 出 ，CentOS 5 提供 的 防火 墙 图 形 界面 管理 功能 非常 有 
远 不 如 采用 命令 行 方 式 功能 强大 。 
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11.6 ”使 用 lptables 实现 NAT 


11.6.1 NAT 概述 


网 络 地 址 转换 (NAT，Network Address _ Translation) 广泛 应 用 于 网 络 中 ， 它 成 功 地 解决 
了 IP 地 址 资源 不 足 的 问题 ， 而 且 还 能 有 效 避 免 来 自 外 部 网 络 的 攻击 ， 隐 藏 并 保护 了 网 络 
内 部 计算 机 。 它 根据 RFC1631 开发 的 IETF 标准 ， 人 允许 一 个 私有 IP 地 址 域 以 公有 人 P 地 址 
的 方式 使 用 Intemet。 

借助 NAT， 使 用 私有 卫 地 址 的 内 部 网 络 通过 路 由 器 或 防火 墙 向 外 发 送 数据 时 ， 私 有 
卫 地 址 会 被 转换 为 合法 的 公有 他 地 址 ， 而 当 返 回 的 数据 包 到 达 路 由 器 或 防火 墙 时 ， 再 将 
公有 卫 转换 为 私有 他 地 址 。 所 以 一 个 局 域 网 只 需要 有 少量 合法 IP 即 可 实现 多 台 机 器 联 
网 的 需求 。NAT 极 大 程度 上 解决 了 IPv4 地 址 匮乏 的 问题 。 


11.6.2 私有 IP 地址 


IANA(The Intemet Assigned Numbers Authority， 互 联网 数字 分 配 机 构 ) 将 IPv4 地 址 分 
为 A、B、C、D、E 5 类 地 址 ， 其 中 D 类 地 址 用 于 组 播 ，E 类 地 址 用 于 科学 研究 ， 这 两 类 
地 址 不 能 在 Intemet 上 使 用 。 故 Intemet 上 面 能 够 分 配给 主机 使 用 的 瑟 地址 只 有 A、B、C 
这 三 类 地 址 。 为 了 满足 网 络 内 部 局 域 网 用 户 使 用 Internet 的 需求 ，IANA 规定 从 A、B、C 
类 地 址 中 分 别 划 出 一 部 分 地 址 供 内 部 网 络 使 用 ， 这 部 分 地 址 就 是 私有 地 址 。 私 有 地 址 默认 
在 Intemet 上 面 是 没有 路 由 的 ， 即 在 Intermet 上 是 无 法 通信 的 。 私 有 地 址 的 IP 地 址 范围 如 
表 11-1 所 示 。 


表 11-1 私有 IP 地 址 范围 


私有 地 址 网 络 名 子 网 掩 码 IP 地 址 范围 


10.0.0.0 255.0.0.0 10.0.0.1~10.255.255.254 

172.16.0.0 255.240.0.0 172.16.0.1~172.31.255.254 

192.168.0.0 255.255.0.0 192.168.0.1~192.168.255.254 
11.6.3 NAT 的 类 型 


NAT 实现 有 三 种 方式 ， 分 别 是 : 静态 地 址 转换 、 动 态 地 址 转换 、 网 络 地 址 端口 转换 。 

e ”静态 地 址 转换 就 是 在 将 内 部 网 络 的 私有 网 络 地 址 转换 为 合法 的 公有 地 址 时 ， 私 有 
地 址 和 公有 地 址 是 一 对 一 的 对 应 关系 。 静 态 地 址 转换 一 般 应 用 于 外 部 网 络 对 内 部 
网 络 中 某 些 服务 器 的 访问 。 

e ”动态 地 址 转换 是 指 在 外 部 网 络 上 定义 一 系列 的 合法 人 地 址 ， 在 将 内 部 网 络 的 私 
有 地 址 转换 为 公有 地 址 时 ， 私 有 地 址 和 公有 地 址 的 对 应 关系 是 不 确定 的 、 随 机 
的 。 每 一 个 需要 连接 外 部 网 络 的 内 部 主机 都 能 分 配 到 一 个 临时 的 公有 地 址 ， 当 用 
户 断 开 连 接 时 ， 这 个 公有 地 址 就 会 被 释放 ， 留 给 其 他 主机 使 用 。 
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@ 网络 地 址 端口 转换 也 叫 端口 多 路 复 用 ， 是 指 将 内 部 网 络 中 所 有 的 私有 地 址 都 转换 
为 同一 个 合法 的 他 地 址 ， 然 后 再 随机 分 配 一 个 由 NAT 设备 指定 的 不 同 的 端口 
号 。 当 多 个 内 部 他 地 址 映射 到 同一 个 合法 地 址 的 时 候 ， 使 用 端口 号 对 其 进行 区 
分 。 采 用 这 种 方式 可 以 最 大 程度 地 节约 人 P 地 址 资源 ， 是 目前 网 络 中 使 用 最 多 的 
一 种 转换 方式 。 


11.6.4 NAT 的 工作 原理 


NAT 是 定义 于 RFC1631 中 的 Intemet 标准 ， 主 要 用 来 使 原本 无 法 上 网 但 可 以 使 用 内 
部 人 P 地 址 的 主机 连接 到 Intemet 上 。NAT 的 出 现 大 大 减少 了 IP 地 址 需求 ， 可 实现 整个 私 
有 网 络 通过 少量 甚至 一 个 公有 IP 地 址 连接 Intemet， 如 图 11-8 所 示 。 


日 公有 亚 地 址 CB 


Ineternet 


NAT 服 务 器 公有 网 络 


11-8 ”NAT 连接 内 部 网 络 及 Internet 


在 Netfilter/Iptables 中 ， 将 NAT 分 为 两 种 类 型 ， 即 源 地 址 转换 (SNAT) 和 目的 地 址 转 
换 (DNAT)。SNAT 是 改变 转发 数据 包 的 源 地 址 ，DNAT 是 改变 转发 数据 包 的 目的 地 址 。 

在 前 面 提 到 过 ， 为 管理 方便 ，Iptables 规则 被 组 织 在 filter、nat 和 mangle 三 张 不 同 的 
表 里 面 ， 其 中 NAT 表 用 来 实现 地 址 转换 。NAT 表 定 义 了 PREROUTING 、 
POSTROUTING 、OUTPUT 三 条 规则 链 ， 利 用 这 三 条 规则 链 定义 的 规则 会 分 别 被 
NE _IP PRE ROUTING、NE IP PSOT ROUTING 和 NF_IP_ LOCAL OUT 这 三 个 钩子 函 
数 调用 。 

利用 PREROUTING 规则 链 可 以 实现 目的 地 址 转 。 利 用 POSTROUTING 规则 链 可 以 
实现 源 地 址 转换 和 伪装 。 伪 装 是 网 络 端口 转换 的 一 个 特例 ， 就 是 将 所 有 的 私有 地 址 都 映射 
到 一 个 不 固定 的 合法 地 址 上 。OUTPUT 规则 链 可 以 实现 对 防火 墙 本 身 产生 的 数据 包 进 行 
地 址 转换 。 


11.6.5 源 NAT 配置 案例 
在 前 面 的 有 关 章 节 中 已 经 介绍 了 路 由 和 过 滤 数 据 包 的 方法 ， 它 们 都 不 牵涉 到 对 数据 包 
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的 他 地 址 进行 改变 。 但 源 NAT 需要 对 内 网 出 去 的 数据 包 的 源 人 P 地 址 进行 转换 ， 用 公 网 
卫 代替 内 网 他， 以 便 数据 包 能 在 Intemet 上 传输 。Iptables 的 源 NAT 的 配置 应 该 是 在 路 由 
和 网 络 防火 墙 配置 的 基础 上 进行 的 。 

Iptables 防火 墙 中 有 3 张 内 置 的 表 ， 其 中 的 nat 表 实 现 了 地 址 转换 的 功能 。nat 表 包 
含 PREROUTING、OUTPUT 和 POSTROUTING 3 条 链 ， 里 面包 含 的 规则 指出 了 如 何 对 
数据 包 的 地 址 进行 转换 。 其 中 ， 源 NAT 的 规则 在 POSTROUTING 链 中 定义 。 这 些 规 则 
的 处 理 是 在 路 由 完成 后 进行 的 ， 可 以 使 用 “-j SNAT” 目 标 动作 对 匹配 的 数据 包 进 行 源 地 
址 转换 。 

假设 让 iptables 防火 墙 承担 NAT 服务 器 功能 将 内 网 10.16.0.0/24 出 去 的 数据 包 其 源 全 
地 址 都 转换 外 网 接口 eth0 的 公 网 全 地 址 202.99.166.1( 见 图 11-9)， 则 需要 执行 以 下 
iptables 命令 。 


# iptables -t nat -A POSTROUTING -s 10.16.0.0/24 -o eth0 -j SNAT --to- 
Source 202.99.166.1 


10. 16. 0. 0/24 
公有 IP 地 址 
SS 202. 99. 166. 1 


Ineternet 
NAT 服 务 器 公有 网 络 


图 11-9 源 NAT 配置 案例 


以 上 命令 中 ，“-t nat” 指 定 使 用 的 是 nat 表 ，“-A POSTROUTING ”表示 在 
POSTROUTING 链 中 添加 规则 ，“--to-source 202.99.166.1” 表 示 把 数据 包 的 源 卫 地址 转 
换 为 202.99.166.1， 而 根据 -s 选项 的 内 容 ， 匹 配 的 数据 包 其 源 卫 地 址 应 该 是 属于 
10.16.0.0/24 子 网 的 。 还 有 ，“-o eth0” 指 定 了 只 有 从 eth0 接口 出 去 的 数据 包 才 做 源 NAT 
转换 ， 因 为 从 其 他 接口 出 去 的 数据 包 可 能 不 是 到 Internet 的 ， 不 需要 进行 地 址 转换 。 

以 上 命令 中 ， 转 换 后 的 公 网 地 址 直接 是 eth0 的 公 网 他 地 址 。 也 可 以 使 用 其 他 地 址 ， 
例如 ，202.99.166.2。 此 时 ， 需 要 为 eth0 创建 一 个 子 接口 ， 并 把 IP 地 址 设置 为 
202.99.166.2， 使 用 的 命令 如 下 所 示 。 


# ifconfig eth0:1 202.99.166.2 netmask 255.255.255.240 


以 上 命令 使 eth0 接口 拥有 两 个 公 网 全。 也 可 以 使 用 某 一 人 P 地 址 范围 作为 转换 后 的 公 
网 地 址 ， 此 时 要 创建 多 个 子 接口 ， 并 对 应 每 一 个 公 网 地 址 。 而 “--to-source” 选 项 后 的 参 
数 应 该 以 “ab.cx-ab.cy” 的 形式 出 现 。 
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前 面 介绍 的 是 数据 包 转 换 后 的 公 网 卫 是 固定 的 情况 。 如 果 公 网 瑟 地 址 是 从 ISP 服务 
商 那里 通过 拨号 动态 获得 的 ， 则 每 一 次 拨号 所 得 到 的 地 址 是 不 同 的 ， 并 且 网 络 接口 也 是 在 
拨号 后 才 产 生 的 。 在 这 种 情况 下 ， 前 面 命令 中 的 “--to-source” 选 项 将 无 法 使 用 。 为 了 解 
决 这 个 问题 ，Iptables 提供 了 另 一 种 称 为 P 伪装 的 源 NAT， 其 实现 方法 是 采用 “5 
MASQUERADE” 目 标 动作 ， 具 体 命令 如 下 所 示 。 


# iptables -t nat -A POSTROUTING -s 10.16.0.0/24 -o ppp0 -j MASQUERADE 


以 上 命令 中 ，ppp0 是 拨号 成 功 后 产生 的 虚拟 接口 ， 其 IP 地 址 是 从 ISP 服务 商 那里 获 
得 的 公 网 卫 。“-j MASQUERADE” 表 示 把 数据 包 的 源 卫 地 址 改 为 ppp0 接口 的 下 地 址 。 


逮 注意 : 除了 上 面 的 源 NAT 配置 外 ， 在 实际 应 用 中 ， 还 需要 配置 其 他 一 些 有 关 
Iptables 网 络 防火 墙 的 规则 ， 同 时 ， 路 由 的 配置 也 是 必 不 可 少 的 。 


11.6.6 目的 NAT 配置 案例 


目的 NAT 改变 的 是 数据 包 的 目的 全 地 址 ， 当 来 自 Internet 的 数据 包 访问 NAT 服务 器 
网 络 接口 的 公 网 人 时 ，NAT 服务 器 会 把 这 些 数 据 包 的 目的 地 址 转换 为 某 一 对 应 的 内 网 
IP， 再 路 由 给 内 网 计算 机 。 这 样 ， 使 用 内 网 卫 地 址 的 服务 器 也 可 以 为 nternet 上 的 计算 机 
提供 网 络 服务 了 。 

位 于 子 网 10.16.0.0/24 的 是 普通 的 客户 机 ， 它 们 使 用 源 NAT 访问 Intemet。 而 子 网 
10.16.2.0/24 是 服务 器 网 段 ， 里 面 的 计算 机 运行 着 各 种 网 络 服务 ， 它 们 不 仅 要 为 内 网 提 
供 服务 ， 而 且 要 为 Internet 上 的 计算 机 提供 服务 。 但 由 于 使 用 的 是 内 网 地 址 ， 因 此 需要 
在 NAT 服务 器 配置 目的 NAT， 才 能 让 来 自 Intemet 的 数据 包 能 顺利 到 达 服 务 器 网 段 ， 如 


图 11-10 所 示 。 
子 网 1 公有 IP 地 址 
10. 16. 0. 0/24 ds 99. 166.2 


Ineternet 


NA 公有 网 络 


子 网 2 
10. 16.2. 0/24 


10. 16.2.3 10.16.2.8 10.16.2.9 


图 11-10 目的 NAT 案 例 


假设 卫 为 10.16.2.3 的 计算 机 需要 为 Intemet 提供 网 络 服务 ， 此 时 ， 可 以 规定 一 个 公 
网 IP 地 址 ， 使 其 与 10.16.2.3 建立 映射 关系 。 假 设 使 用 的 公 网 卫 是 202.99.166.2， 则 配置 
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目的 NAT 的 命令 如 下 : 


# iptables -t nat -A PREROUTING -i eth0 -d 202.99.166.2/32 -j DNAT --to 
0 6253 


以 上 命令 是 在 PREROUTING 链 中 添加 规则 ， 这 条 链 位 于 路 由 模块 的 前 面 ， 因 此 是 在 
路 由 前 改变 了 数据 包 的 目的 全 ， 这 将 对 路 由 的 结果 造成 影响 。 由 于 网 络 接 口 eth0 与 
Intemet 连接 ， 因 此 ，“-i eth0 ”保证 了 数据 包 是 来 自 Intemet 的 数据 包 。“-d 
202.99.166.2/32” 表 示 数 据 包 的 目的 地 是 202.99.166.2 主机 ， 而 这 个 人 P 应 该 是 eth0 某 个 子 
接口 的 地 址 ， 这 样 才能 由 NAT 服务 器 接收 数据 包 ， 否 则 ， 数 据 包 将 会 因为 无 人 接收 而 
丢弃 。 

“-j DNAT” 指 定 了 目标 动作 是 DNAT， 表 示 要 对 数据 包 的 目的 卫 进行 修改 ， 它 的 子 
选项 “--to 10.16.2.3” 表 示 修 改 后 的 卫 地 址 是 10.16.2.3。 于 是 ， 目 的 IP 修改 后 ， 接 下 来 
将 由 路 由 模块 把 数据 包 路 由 给 10.16.2.3 服务 器 。 

以 上 是 让 一 个 公 网 人 P 完全 映射 到 内 网 的 某 个 全 上 ， 此 时 同 10.16.2.3 主机 直接 位 于 
Internet， 并 且 使 用 202.99.166.2 地 址 是 没有 区 别 的 。 因 此 这 种 方式 虽然 达到 了 地 址 转换 
的 目的 ， 但 实际 上 并 没有 带 来 多 大 好 处 ， 因 为 使 用 NAT 的 主要 目的 是 为 了 能 够 共用 公 
网 卫 地 址 ， 以 节省 日 益 紧张 的 人 P 地 址 资源 。 为 了 达到 共用 人 P 地 址 的 目的 ， 可 以 使 用 端 
口 映 射 。 

端口 映射 是 把 一 个 公 网 人 P 地 址 的 某 一 端口 映射 到 内 网 某 一 卫 地 址 的 某 一 端口 上 去 。 
它 使 用 起 来 非常 灵活 ， 两 个 映射 的 端口 其 端口 号 可 以 不 一 样 ， 而 且 同 一 个 公 网 IP 的 不 同 
端口 可 以 映射 到 不 同 的 内 网 他 地 址 上 去 。 

例如 ， 假 设 主机 10.16.2.3 只 为 外 网 提供 Web 服务 ， 因 此 ， 只 需要 开放 80 端口 ， 而 主 
机 10.16.2.9 为 外 网 提供 了 FTP 服务 ， 因 此 需要 开放 21 号 端口 。 在 这 种 情况 下 ， 完 全 可 以 
把 公 网 全 地 址 202.99.166.2 的 80 号 和 21 号 端口 分 别 映射 到 10.16.2.3 和 10.16.2.9 的 80 号 
和 21 号 端口 ， 以 便 两 台 内 网 服务 器 可 以 共用 一 个 公 网 全。 具体 命令 如 下 所 示 。 

# iptables -t nat -A PREROUTING -i eth0 -d 202.99.166.2/32 -p tcp -- 

dport 80 -j DNAT --to 10.16.2.3:80 

# iptables -t nat -A PREROUTING -i eth0 -d 202.99.166.2/32 -p tcp -- 

dport 21 -j DNAT --to 10.16.2.9:21 

以 上 命令 中 ， 目 的 地 址 是 202.99.166.2 的 TCP 数据 包 。 当 目的 端口 是 80 时 ， 将 转发 
给 10.16.2.3 主机 的 80 端口 ， 当 目的 端口 是 21 时 ， 将 转发 给 10.16.2.9 主机 的 21 号 端口 。 
当然 ， 两 个 映射 的 端口 完全 可 以 不 一 样 。 例 如 ， 如 果 还 有 一 台 主 机 10.16.2.8 也 通过 80 端 
口 提供 Web 服务 ， 并 且 映 射 的 卫 地 址 也 是 202.99.166.2， 此 时 需要 把 202.99.166.2 的 另 一 
个 端口 ， 如 8080， 映 射 到 10.16.2.8 的 80 端口 ， 命 令 如 下 : 

# iptables -t nat -A PREROUTING -i eth0 -d 202.99.166.2/32 -p tcp -- 

dport 8080 -j DNAT --to 10.16.2.8:80 

注意 : 上 面 介绍 的 只 是 有 关 Iptables 中 的 DNAT 配置 ， 在 实际 应 用 中 ， 还 需要 其 他 一 
些 配 置 的 配合 才能 真正 成 功 。 例 如 ，filter 表 的 3 个 链 应 该 允许 相应 的 数据 包 通 过 ， 应 该 
为 每 一 个 外 网 卫 创建 eth0 接口 的 子 接口 等 。 

此 外 ， 对 于 FTP 服务 来 说 ， 由 于 21 号 端口 只 是 建立 控制 连接 时 用 到 的 端口 ， 真 正 传 
输 数 据 时 要 使 用 其 他 端口 。 而 且 在 被 动 方式 下 ， 客 户 端 向 FTP 服务 器 发 起 连接 的 端口 号 
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是 随机 的 ， 因 此 ， 无 法 通过 开放 固定 的 端口 来 满足 要 求 。 为 了 解决 这 个 问题 ， 可 以 在 
Linux 系统 中 载 入 以 下 两 个 模块 。 


modprobe ip conntrack ftp 
modprobe ip nat ftp 


这 两 个 模块 可 以 监控 FTP 控制 流 ， 以 便 能 事先 知道 将 要 建立 的 FTP 数据 连接 所 使 用 
的 端口 ， 从 而 可 以 允许 相应 的 数据 包 通 过 ， 即 使 防火 墙 没有 开放 这 个 端口 。 


11.7 本 章 小 结 
本 章 对 Linux 服务 器 安全 进行 了 介绍 ， 重 点 对 Iptables 进行 了 探讨 。 主 要 介绍 了 


Iptables 的 安装 与 配置 文件 、Iptables 规则 与 Iptables 的 使 用 方法 。 本 章 最 后 介绍 了 使 用 
Iptables 实现 NAT 的 方法 ， 并 给 出 了 具体 的 配置 案例 ， 方 便 读 者 学 习 。 


11.8 课 后 练习 


1. 选择 题 
(1) 在 Linux 2.4 以 后 的 内 核 中 ， 提 供 TCP/IP 包 过 滤 功 能 的 软件 叫 ( 。 )。 
A. rarp B. route C. iptalbles D. filter 


(2) 在 Linux 操作 系统 中 ， 可 以 通过 iptables 命令 来 配置 内 核 中 集成 的 防火 墙 ， 若 在 
配置 脚本 中 添加 Iptables 命令 #iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 61.129.3.88 -- 
dport 80 -j DNAT -to-destination 192.168.0.18， 其 作用 是 (  )。 

A. 将 对 192.168.0.18 的 80 端口 转发 到 内 网 的 61.129.3.88 主机 上 
B. 将 对 61.129.3.88 的 80 端口 转发 到 内 网 的 192.168.0.18 主机 上 
C. 将 对 192.168.0.18 的 80 映射 到 内 网 的 61.129.3.88 的 80 端口 
D. 禁止 对 61.129.3.88 的 80 端口 访问 

(3) 从 下 面 选择 关于 人 P 伪装 的 适当 描述 ( 天 
A. 它 是 一 个 转化 包 的 数据 工具 
B. 它 的 功能 就 像 NAT 系统 ， 转 换 内 部 卫 地 址 到 外 部 卫 地 址 。 
C. 它 是 一 个 自动 分 配 人 P 地 址 的 程序 
D. 它 是 一 个 连接 内 部 网 到 Internet 的 工具 

(4) 不 属于 Iptables 操作 的 是 ( “). 

A. ACCEPT B. DROP 或 REJECT 
C.LOG D. KILL 
(5) 假设 要 控制 来 自卫 地址 199.88.77.66 的 ping 命令 ， 可 用 的 Iptables 命令 (  )。 
A. iptables -a INPUT -s 199.88.77.66 -p icmp -] DROP 
B. iptables -A INPUT -s 199.88.77.66 -p icmp -] DROP 
C. iptables -A input -s 199.88.77.66 -p icmp -] DROP 
D. iptables -A input -S 199.88.77.66 -p icmp -] DROP 
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(6) 如 果 想 要 防止 199.88.77.0/24 网 络 用 TCP 分 组 连接 端口 21，Iptables 命令 是 
( ). 
A. iptables -A FORWARD -s 199.88.77.0/24 -p tcp --dport 21 -j REJECT 
B. iptables -A FORWARD -s 199.88.77.0/24 -p tcp --dport 21 -i REJECT C 
C. iptables -a forward -s 199.88.77.0/24 -p tcp --dport 21 -j reject 
D. iptables -A FORWARD -s 199.88.77.0/24 -p tcp --dport 21 -j DROP 
(7) 在 Iptables 中 ， 特 殊 目 标 规则 REJECT 表示 ( 。 )。 
A. 让 数据 包 透 明 通过 
B. 简单 地 丢弃 数据 包 
C. 丢弃 该 数据 ， 同 时 通知 数据 的 发 送 者 数据 被 拒绝 通过 
D. 被 伪装 成 是 从 本 地 主机 发 出 的 ， 回 应 的 数据 被 自动 地 在 转发 时 解 伪装 
(8) 一 台 CentOS 5 主机 配置 了 防火 墙 ， 若 要 禁止 客户 机 192.168.1.20/24 访问 该 主机 
的 Telnet 服务， 可 以 添加 ( ) 规 则 。 
A. iptables -A INPUT -p tcp -s 192.168.1.20 --dport 23 -] REJECT 
B. iptables -A INPUT -p tcp -d 192.168.1.20 --sport 23 -] REJECT 
C. iptables -A OUTPUT -p tcp -s 192.168.1.20 --dport 23 -] REJECT 
D. iptables -A OUTPUT -p tcp -d 192.168.1.20 --sport 23 -] REJECT 
(9) 在 配置 netfilter/iptables 时 ， 通 常 需要 开启 设备 的 转发 功能 ， 下 列 ( 。”) 可 以 完成 
转发 功能 的 开启 。 
A. 给 该 设备 设置 正确 的 网 关 地 址 
B. vi/proc/sys/net/ipv4/ip forward 将 该 文件 值 设置 为 “1” 
C. echo “1” >/proc/sys/net/ipv4/ip forward 
D. vi/etc/sysconf/network 将 NETWORKING=YES 


2. 判断 题 

Linux 内 核 通 过 netfilter/iptables 实现 的 防火 墙 功 能 属于 包 过 滤 防 火 墙 ， 可 以 实现 以 下 
功能 : 作为 主机 防火 墙 实现 外 部 网 络 与 主机 之 间 的 访问 控制 ; 作为 网 络 防火 墙 实现 外 部 网 
络 与 内 部 网 络 的 访问 控制 ; 作为 网 关 服 务 器 实现 网 络 地 址 转换 (NAT) 功 能 ， 实 现 内 部 网 络 
通过 网 关 主机 共享 访问 外 部 网 络 。 ( ) 

3. 简 答题 

(1) 简 述 防火 墙 的 概念 、 作 用 。 

(2) 简 述 Iptables 的 工作 过 程 。 

(3) 简 述 NAT 的 工作 过 程 。 


附录 


对 于 初 涉 Linux 世界 的 用 户 而 言 ， 有 许多 新 的 术语 需要 学 习 。 
本 附录 的 词汇 表 简 明 地 解释 了 Linux 产品 常用 的 许多 术语 、 首 字母 
缩写 词 和 缩写 的 意思 和 意义 (其 中 有 些 术 语 并 不 是 Linux 所 特有 的 ， 
初学 用 户 可 能 仍然 对 它们 感到 很 陌生 )。 本 文档 将 有 助 于 澄清 对 
Linux 的 一 些 混淆 ; 但 是 ， 这 里 并 没有 包含 最 常用 的 硬件 、 软 件 和 通 
信 方 面 的 术语 。 
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含义 


帐户 名 称 


等 同 于 登录 标识 、 用 户 标 识 或 用 户 名 。 是 指派 给 
UNIX/Linux 系统 上 用 户 的 名 称 。 可 以 在 系统 上 对 多 个 用 户 
Account Name 设置 唯一 的 账户 名 称 ， 每 个 用 户 具 有 不 同 的 访问 (权限 ) 级 
别 。 在 安装 完 Linux 之 后 ， 账 户 名 称 由 超级 用 户 (Superuser) 
或 root 操作 员 指 派 


AfterStep 


Awk 


高 级 电源 
管理 


附加 符号 


归档 文件 


用 户 界面 (窗口 管理 器 ) 之 一 ，AfterStep 使 得 Linux 的 外 观 
很 像 NeXTSTEP， 而 且 还 有 些 增强 功能 。 要 获取 更 多 关于 
AfterStep AfterStep 的 信息 ， 请 访问 www.afterstep.org( 另 请 参阅 
“Enlightenment” 、“GNOME” 、“KDE” 和 “X Window 
系统 ”) 

Aho 、Weinberger 和 | 一 种 编程 语言 ， 因 其 模式 匹配 语法 而 特别 有 用 ， 通 常用 于 数 
Kernighan 据 检索 和 数据 转换 。 一 个 GNU 版 本 称 为 Gawk 

一 种 工业 标准 ， 它 允许 系统 处 理 器 和 各 个 组 件 进入 省 电 模 
式 ， 包括 挂 起 、 睡 眠 和 关机 。APM 软件 对 于 移动 设备 尤为 
重要 ， 因 为 它 节省 了 电池 电量 

两 个 键盘 字符 >( 也 就 是 >>)。 通 常用 它 将 命令 的 输出 发 送 
到 文本 文件 ， 将 数据 附加 到 文件 的 尾部 ， 而 不 是 替换 现 有 的 
内 容 。 例 如 ，ls -a >> output.txt 将 当前 目录 列表 发 送 到 名 为 
output.txt 的 文件 ， 并 将 其 添加 到 该 文件 的 尾部 。 重 复 执行 
该 命令 会 不 断 地 将 新 数据 添加 到 文件 尾部 ( 另 请 参阅 “管道 
符号 ”和 “ 重 定向 符号 ”) 

含有 多 个 文件 的 单个 大 型 文件 ， 通 常 对 其 进行 压缩 以 节省 存 
储 空间 。 经 常 创建 归档 文件 以 方便 计算 机 之 间 的 传送 。 流 行 
的 归档 格式 包括 ARJ、TAR、ZIP 和 ZOO。 它 们 都 可 以 用 
来 创建 这 样 的 归档 文件 

运行 时 无 须 用 户 输入 的 程序 。 可 以 在 诸如 UNIX/Linux 之 
类 的 多 任务 操作 系统 上 运行 多 个 后 台 进 程 ， 而 用 户 则 与 前 台 
Background Process 进程 交互 (例如 ， 数 据 输 入 )。 有 些 后 台 进 程 (例如 ， 守 护 程 
序 ) 从 来 都 不 需要 用 户 输入 。 其 他 一 些 进程 只 是 在 用 户 忙于 
目前 运行 于 前 台 的 程序 时 才 临 时 处 于 后 台 


APM(Advanced Power 


Management) 


Append Symbol 


一 个 含有 可 执行 程序 的 目录 ， 这 些 程序 主要 是 二 进 制 文件 


引导 盘 


一 张 软盘 ， 其 中 含有 操作 系统 (如 Linux) 引 导 (启动 ) 计 算 机 
并 从 命令 行 运行 一 些 基本 程序 所 需 的 足够 内 容 。 如 果 因 某 种 
Boot Disk 原因 导致 系统 表现 为 无 法 引导 ， 那 么 引导 盘 是 必需 的 。 引 导 
盘 还 用 于 对 硬盘 进行 分 区 和 格式 化 、 恢 复 主 引导 记录 
(Master Boot Record) 或 者 复制 特定 文件 等 
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续 表 
语义 


加 州 大 学 伯克利 分 校 开 发 的 UNIX 


Compiler 


在 Web 服务 器 上 ， 用 来 在 脚本 和 / 或 应 用 程序 之 间 传输 数 
据 ， 然 后 将 该 数据 返回 给 Web 页 面 或 浏览 器 。CGI 脚本 
经 常 是 使 用 Perl 语言 创建 的 ， 它 能 够 生成 动态 Web 内 容 
(包括 电子 商业 购物 篮 、 讨 论 组、 调查 表单 以 及 实时 新 闻 等 ) 
用 于 将 编程 源 代 码 转换 成 可 执行 程序 的 程序 


桌面 


文件 系统 


过 滤器 


Daemon 


Desktop 


FileSystem 


Filter 


ForegroundProcess 


操作 系统 的 后 台 进 程 ， 通 常 具 有 root 安全 级 别 许可 权 。 守 
护 程序 通常 隐藏 在 后 台 ， 直 至 被 某 个 事件 (例如 特定 的 时 间 
或 日 期 、 时 间 间 隔 、 收 到 电子 邮件 等 ) 触 发 后 它 才 会 进入 活 
动 状态 

操作 系统 用 户 界面 ， 旨 在 表示 一 个 在 上 面 放 东西 的 办 公 桌 。 
操作 系统 的 桌面 并 不 使 用 有 形 的 电话 、 电 灯 、 收 / 发 箱 等 ， 
而 是 使 用 程序 及 数据 图 标 、 窗 口 、 任 务 栏 和 类 似 的 东西 。 
Linux 可 以 使 用 许多 不 同 的 桌面 环境 ， 包 括 KDE、 
GNOME 和 XI1， 它 们 可 以 由 用 户 安 装 ( 另 请 参阅 
“GUI”、“ 窗 口 管理 器 ”和 “X Window 系统 ”) 

一 组 程序 ， 它 们 告诉 操作 系统 如 何 访问 及 解释 存储 在 磁盘 或 
磁带 驱动 器 或 者 其 他 存储 媒介 上 的 内 容 。 常 见 的 文件 系统 包 
括 : FAT 和 FAT-32(DOS/Windows)、HPFS(OS/2)、NFS、 
NTIFS(Windows NT/2000) 以 及 其 他 文件 系统 

一 种 程序 ， 它 (从 文件 、 程 序 输 出 或 命令 行 输入 ) 读 取 数 据 作 
为 输入 ， 根 据 一 组 预定 义 条 件 处 理 输入 (如 ， 按 字母 顺序 排 
序 )， 然 后 输出 处 理 过 的 数据 。 一 些 常见 的 过 滤器 包括 
Awk、Grep、Sed 和 Sort 

在 多 任务 操作 系统 (诸如 UNIX/Linux) 中 ， 前 台 进程 是 用 户 
当前 与 之 交互 的 程序 (例如 ， 数 据 输入 )。 随 着 用 户 在 程序 之 
间 切 换 ， 会 导致 这 些 程序 在 不 同 的 时 刻 处 于 前 台 。 在 层 登 的 
窗口 环境 中 ， 前 台 进 程 是 最 前 面 的 窗口 


GNU C Compiler 或 者 
GCC 


由 GPL 管理 的 一 个 高 质量 C 编译 器 


GNU Network Object 


Model Environment 


一 种 用 于 Linux 的 用 户 界面 (窗口 管理 器 )， 它 是 用 Gtk 构 
建 的 。 更 多 关于 GNOME 的 信息 ， 请 访问 www.gnome.org 


Graphical User 
Interface 


图 标 、 窗 口 及 屏幕 上 其 他 图 形 图 像 的 集合 ， 它 们 提供 了 用 户 与 
操作 系统 交互 的 方法 ( 另 请 参阅 “桌面 ”和 “窗口 管理 器 ”) 
用 户 登 录 之 后 所 在 的 目录 
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术 语 
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续 表 
对 应 英文 名 含义 


超 文 本 标记 


语言 


用 于 设计 Web 页 面 的 标准 标记 语言 。 标 记 “tag” 或 格式 
化 命令 允许 Web 页 面 设计 人 员 确 定 突出 显示 、 定 位 图 形 及 
创建 超 链接 等 


Hyper Text Markup 


Language 


超 文 本 传输 
协议 


Hyper Text Transport 
Protocol(HTTP. 


一 组 创建 的 准则 ， 用 于 请 求 和 发 送 基于 HTML 的 Web 页 面 


操作 系统 装 入 后 立即 运行 的 第 一 个 进程 。 它 以 单 用 户 方式 启 
动 系统 或 生成 shell 来 读 取 启动 文件 ， 并 打开 指定 用 于 登录 
的 端口 


Java 


Java 开发 工 
具 箱 


面向 对 象 


与 编译 型 程序 不 同 ， 每 次 运行 解释 型 程序 时 都 要 由 解释 器 程 
序 实 时 地 将 源 代 码 转换 成 二 进 制 形式 ， 而 编译 型 程序 由 编译 
器 一 次 性 将 源 代码 转换 成 可 执行 代码 ， 随 后 从 其 二 进 制 形式 
运行 。 解 释 型 语言 (以 及 用 它们 编写 的 程序 ) 往 往 要 比 编译 型 
Interpreted Language 语言 及 伪 代 码 语言 / 程序 慢 ， 并 且 通 常 只 有 有 限 的 底层 操作 
系统 功能 访问 权限 或 直接 访问 硬件 的 权限 。 但 从 另 一 角度 来 
说 ， 它 们 无 需 编译 器 (可 能 非常 昂贵 )， 并 且 经 常 包 含 在 操作 
系统 中 ， 通 常 比 编译 型 语言 更 容易 编程 。 解 释 型 语言 的 例子 
有 BASIC、Perl、Python 和 REXX/Object REXX 

Sun Microsystems 开发 的 、 独 立 于 操作 系统 的 面向 对 象 编程 
语言 。Java 通常 用 于 Web 服务 器 。Java 应 用 程序 和 
applet 有 时 以 下 载 的 形式 提供 给 用 户 ， 以 便 在 他 们 的 系统 上 
运行 。Java 编程 语言 可 以 编制 应 用 程序 或 较 小 的 
Java“applet*。Java 是 C++ 语言 稍 加 简化 的 版 本 ， 通 常 是 
进行 解释 而 不 是 编译 


由 Sun、IBM 或 其 他 公司 开发 的 Java 编程 工具 箱 ， 可 以 
Kit(JDK 用 于 UNIX/Linux 及 其 他 操作 系统 


一 种 软件 开发 方法 ， 它 为 程序 员 提 供 标准 可 重用 的 软件 模块 
(组 件 )， 而 无 需 开 发 人 员 每 次 都 编写 定制 编程 代码 。 使 用 标 
Object-Oriented 准 组 件 缩短 了 开发 时 间 ( 因 为 其 他 程序 员 已 经 编写 并 测试 了 
这 些 组 件 )， 并 且 通 过 使 用 相同 的 组 件 确保 了 程序 具有 标准 
的 外 观 


开放 源码 


开放 源码 
软件 


一 个 稍 显 模糊 的 术语 ， 是 指 同 源 代码 一 起 发 布 的 软件 。 提 供 
源 代码 这 一 事实 并 不 一 定 意 味 着 用 户 可 以 修改 和 重新 分 发 源 
代码 。 这 个 术语 有 时 可 以 和 “免费 软件 ” 互 换 使 用 ， 尽 管 它 
们 的 意思 并 不 总 是 相同 


i i 
Software(OSS) 


Open Source 
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续 表 
术 语 对 应 英文 名 含义 
所 有 者 Owner 对 文件 具有 访问 特权 的 用 户 ， 通 常 是 创建 该 文件 的 用 户 
可 插入 的 认 Pluggable 用 于 系统 安全 性 的 可 替换 的 用 户 认证 模块 ， 它 允许 在 不 知道 
证 模块 Authentication 将 使 用 何 种 认证 方案 的 情况 下 进行 编程 。 这 人 允许 将 来 用 其 他 
Modules(PAM) 模块 来 蔡 换 某 个 模块 ， 却 无 需 重 写 软 件 
面板 Panel Linux 中 对 应 于 Windows 任务 栏 的 名 称 
本 磁盘 驱动 器 的 一 个 连续 部 分 ， 它 被 操作 系统 当 作物 理 驱动 
分 区 Partition 


器 。 这 样 ， 可 以 为 一 个 磁盘 驱动 器 赋予 几 个 驱动 器 符号 


实用 摘录 与 | Practical Extraction and 


报告 语言 


Report Language(Perl) 


一 种 常用 的 脚本 编制 / 编程 语言 。 经 常用 在 UNIX/Linux 
Web 服务 器 上 生成 CGI 脚本 


权限 Permission 


移植 Port/Ported/Porting 


进程 


公共 域 Public Domain 


公 钥 加 密 Public Key Encryption 


读 写 文件 和 目录 及 执行 程序 的 权限 。 超 级 用 户 或 root 操作 
员 可 以 逐个 文件 、 逐 个 目录 地 ， 或 者 按照 账户 名 称 (用 户 标 
识 ) 赋 予 各 种 权限 级 别 

一 个 过 程 ， 即 获取 为 某 个 操作 系统 平台 编写 的 程序 ， 并 对 其 
进行 修改 使 之 能 在 另 一 OS 上 和 运行， 并 且 具 有 类 似 的 功 
能 。 通 常 很 少 或 者 干脆 就 不 尝试 定制 程序 以 利用 新 操作 系统 
的 特有 能 力 ， 这 与 为 某 个 特定 操作 系统 优化 应 用 程序 不 同 
描述 一 类 软件 的 术语 ， 这 类 软件 旨 在 只 需 少量 修改 和 重新 编 
译 就 可 在 多 个 操作 系统 上 使 用 

正在 执行 的 程序 

可 供 任何 人 以 任何 目的 使 用 和 修改 的 软件 ， 甚 至 可 以 将 其 并 
入 商业 软件 的 分 发 。 公 共 域 软件 不 保留 版 权 ， 作 者 也 不 保留 
任何 权利 

一 种 包括 两 个 单独 密 钥 ( 公 钥 和 私 钥 ) 的 数据 加 密 方法 。 使 用 
公 钥 加 密 的 数据 只 能 用 私 钥 解 密 ， 反 之 亦 然 。 一 般 而 言 ， 公 
钥 是 公开 的 ， 可 以 用 来 加 密 发 送 给 私 钥 持 有 者 的 数据 ， 私 钥 
用 来 对 数据 进行 签名 


Python 


独立 / 廉价 | Redundant Array of 
磁盘 / 设备 | Independent/Inexpensive 
宛 余 阵列 Disks/Devices(RAID) 


一 种 面向 对 象 伪 代 码 编程 语言 

一 种 提供 数据 元 余 、 改 善 性 能 和 / 或 从 磁盘 崩溃 中 迅速 恢复 
数据 的 方法 ， 它 是 通过 在 多 个 磁盘 驱动 器 上 分 布 或 复制 数据 
来 实现 这 一 点 的 。 常 用 的 RAID 类 型 包括 RAID 0( 数 据 条 
带 化 )，RAID 1( 磁 盘 镜像 ) 和 RAID 5( 具 有 分 布 式 奇偶 校 验 
的 条 带 化 )。RAID 配置 通常 需要 SCSI 磁盘 驱动 器 (而 不 是 
IDE/EIDE)， 可 能 要 求 磁 盘 相 同 (相同 的 容量 、 品 牌 等 )。 操 
作 系 统 将 RAID 阵列 看 作 单 个 设备 


Root 操作 员 


具有 执行 所 有 系统 级 任务 权限 的 用 户 标识 
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续 表 
术 语 对 应 英文 名 含义 
Rb 读 禄 一 种 用 于 因特网 下 载 包 的 打包 及 安装 工具 ， 它 包含 在 某 些 
RPM Package Manager | Linux 分 发 版 中 。 它 生成 具有 .RPM 扩展 名 的 文件 。 与 
包 管 理 器 
Dpkg 类 似 
脚本 Script 一 组 存储 在 文件 中 的 命令 。 用 于 进行 自动 重复 的 执行 
会 话 Session 用 户 在 登录 到 注销 期 间 与 操作 系统 之 间 的 完整 交互 过 程 
程序 员 输入 的 、 原 始 状态 的 编程 命令 。 有 些 编程 语言 允许 命 
令 实 时 地 由 程序 解释 器 执行 。 其 他 语言 则 要 求 必须 先 将 命令 
源 代码 汪汪 编译 成 可 执行 程序 (二 进 制 ) 后 才能 使 用 这 些 命令 。 在 
UNIX/Linux 世界 中 ， 有 些 软件 仅 以 源 代码 形式 分 发 ， 另 一 
些 软件 包 则 同时 包含 源 代 码 和 二 进 制 代码 ， 还 有 一 些 则 仅 以 
二 进 制 格式 分 发 
暂时 将 数据 (程序 和 / 或 数据 文件 ) 从 随机 存 取 存储 器 移 到 磁 
交换 盘存 储 器 ( 换 出 )， 或 反方 向 移动 ( 换 入 )， 以 允许 处 理 比 物理 


内 存 所 能 容纳 的 更 多 的 程序 和 数据 。 也 称 为 虚拟 内 存 

将 所 有 暂 挂 的 输入 / 输出 强制 写 回 磁盘 驱动 器 

用 于 编辑 文本 文件 的 程序 。 类 似 于 字 处 理 程 序 ， 但 没有 大 多 
数 / 全 部 格式 化 功能 (例如 设置 页 边 距 、 斜 体 和 字体 等 )。 经 
常用 于 书写 或 编辑 脚本 、 程 序 和 ASCI 文本 文件 (如 
README.1ST) 

一 小 段 程序 ， 其 行为 就 像 是 较 大 程序 的 一 个 独立 子 集 ， 也 称 
为 “进程 ”。 多 线程 程序 能 够 比 单个 程序 或 单线 程 程序 运行 


同步 


文本 编辑 器 ”| Text Editor 


线程 得 快 得 多 ， 因 为 它 可 以 并 行 (而 不 是 串 行 (顺序 )) 地 执行 几 个 
甚至 多 个 不 同 的 任务 。 而 且 ， 单 个 应 用 程序 内 的 多 个 线程 可 
以 共享 资源 ， 并 且 相 互 之 间 可 以 来 回 传递 数据 

二 与 PostScript 字体 不 一 样 ， 它 们 和 旨 在 成 为 与 打印 机 无 关 的 

字体 各 种 字体 ， 可 用 于 Apple Macintosh 和 Windows， 不 常用 


于 UNIX/Linux 


1. 填空 题 


(1) 开源 的 ，Unix，Unix， 硬 件 平台 移植 
(2) 图 形 用 户 界面 


2. 选择 题 
(ED 

QD 

G)C 

3. 判断 题 

() 对 CQ) 错 
4. 简 答题 


(1) Linux 操作 系统 的 内 核 版 本 指 的 是 在 Linux 本 人 领导 下 的 开发 小 组 开发 出 的 系统 内 
核 的 版 本 号 。 自 1994 年 3 月 14 日 发 布 了 第 一 个 正式 版 本 Linux 1.0 以 来 ， 每 隔 一 段 时 间 
就 有 新 的 版 本 或 其 修订 版 公布 。 

不 同 的 系统 厂商 在 开发 Linux 时 ， 虽 然 可 能 使 用 同一 个 Linux 内 核 ， 但 为 了 确立 自己 
的 品牌 ， 都 会 使 用 不 同 的 名 称 为 这 些 发 布 的 版 本 命名 ， 这 就 是 Linux 的 发 行 版 本 。 

(2) 请 参考 1.2 节 内 容 。 


第 2 章 


1. 填空 题 


(1) 从 光盘 安装 ， 从 硬盘 安装 ， 网 络 安装 ，kickstart 安装 ，PXE 安装 
(2) 文件 


2. 选择 题 


(WD 
QD 
G3)C 


3. 判断 题 
(中 对 Q@3) 错 


Linux 网 络 技术 基础 
4. 简 答题 
(1) 请 参考 2.1.3 节 内 容 。 


(2) 请 参考 2.3.2 节 内 容 。 
(3) 请 参考 2 4.3 节 中 的 内 容 ， 进 行 自 定义 面板 的 操作 步 又 即 可 。 


第 3 章 


1. 填空 题 


(1) alias tdir="ls -art"，bashrc，bash_profile 
(2) In， 硬 链接 ， 符 号 链接 
(3) cat >abc，Ctrl+d，Ctrltc，cp /dev/ttyl abc 


2. 选择 题 
(DC 
(OA 
G)D 
(HD 

3. 判断 题 
错 

4. 简 答 题 


(1) 请 参考 3.1.1 节 内 容 。 
(2) 请 参考 3.3 节 内 容 。 


1. 填空 题 


(1) 动态 主机 配置 协议 
(2) TP 地址 

(3) 授权 

(4) MAC 地 址 

2. 选择 题 

(1) ABCD 

QC 

GB)D 

(4)B 

(5)B 
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(OC 
7B 
(8)A 
(9) ABCD 


3. 简 答 题 


(1) DHCP 的 工作 过 程 如 下 : 

@ DHCP 客户 向 DHCP 服务 发 出 请 求 ， 要 求 租 借 一 个 人 P 地 址 。 但 由 于 此 时 DHCP 客 
户 上 TCP/IP 还 没有 初始 化 ， 它 还 没有 一 个 IP 地 址 ， 因 此 只 能 使 用 广播 手段 向 网 上 所 有 
DHCP 服务 器 发 出 请 求 。 

@ 网 上 所 有 接收 到 该 请 求 的 DHCP 服务 器 ， 首 先 检查 自己 的 地 址 池 中 是 否 还 有 空余 
的 他 地 址 ， 如 果 有 的 话 将 向 该 客户 发 送 一 个 可 提供 IP 地 址 (offer) 的 信息 。 

@ DHCP 客户 一 旦 接收 到 来 自 某 一 个 DHCP 服务 器 的 (offer) 信 息 时 ， 它 就 向 网 上 所 
有 的 DHCP 服务 器 发 送 广播 ， 表 示 自 己 已 经 选择 了 一 个 卫 地 址 。 

@ 被 选中 的 DHCP 服务 器 向 DHCP 客户 发 送 一 个 确认 信息 ， 而 其 他 的 DHCP 服务 器 
则 收回 它们 的 (offen) 信 息 。 

(2) DHCP 的 优 缺 点 : 

在 网 络 中 应 用 DHCP 有 以 下 优点 : 减少 错误 ， 通 过 配置 DHCP， 把 手工 配置 卫 地 址 
所 导致 的 错误 减少 到 最 低 程度 ， 例 如 已 分 配 的 P 再 次 分 配给 另 一 设备 所 造成 的 地 址 冲突 
等 将 大 大 减少 ; 减少 网 络 管理 ，TCP/P 配置 是 集中 化 和 自动 完成 的 ， 不 需要 网 络 管理 员 
手工 配置 ， 网 管 员 能 集中 定义 全 局 和 特定 子 网 的 TCP/IP 配置 信息 ， 使 用 DHCP 选项 可 以 
自动 给 客户 机 分 配 全 部 范围 的 附加 TCP/P 配置 值 。 

DHCP 缺点 ，DHCP 不 能 发 现 网 络 上 非 DHCP 客户 机 已 经 在 使 用 的 IP 地 址 ， 当 网 络 
上 存在 多 个 DHCP 服务 器 时 ， 一 个 DHCP 服务 器 不 能 查 出 已 被 其 他 服务 器 租 出 去 的 全 地 
址 :DHCP 服务 器 不 能 跨 路 由 器 与 客户 机 通信 。 

G3) 

Q@ 181 个 

@ 该 DHCP 服务 器 指定 的 默认 网 关 是 : 192.168.1.254。 

域名 是 : abc.com。 

指定 的 DNS 服务 器 是 : 192.168.1.1 和 192.168.1.2。 

@ 为 网 卡 的 MAC 地 址 “00:A0:78:8E:9E:AA” 的 客户 端 主机 分 配 固定 的 卫 地 址 : 
192.168.1.22。 

为 该 客户 分 配 主机 域名 : fixed.abc.com。 

@ 通过 ipconfig/all 命令 可 以 得 到 客户 端 TCP/IP 当前 的 详细 配置 信息 。 


第 5 章 


1. 填空 题 
(1) network file system， 网 络 文件 系统 
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(2) portmap, rpc.nfsd, mpc.mountd 

(3) Linux, Unix 

(4) showmount -a 192.168.1.103 

(5) chkconfig -level 345 portmap on，chkconfig -level 345 nfson 


2. 选择 题 


(DC 
2)C 
G)D 
(DA 
G)D 
(OB 
(7)A 
(8) C 
(9)C 
(10) B 


3. 简 答题 


(1) NFS 即 网 络 文件 系统 (Network File System)， 是 使 不 同 的 计算 机 之 间 能 通过 网 络 进 
行文 件 共享 的 一 种 网 络 协议 ， 主 要 用 于 UNIX/Linux 操作 系统 中 。 使 用 mount 命令 或 者 
mount -tnfs 对 NFS 进行 挂 载 。 

(2) 

@ rpcnfsd: 它 是 基本 的 NFS 守护 进程 ， 主 要 功能 是 管理 客户 端 是 否 能 够 登入 服 
务 器 。 

@ tpc.mountd: 它 是 RPC 安装 守护 进程 ， 主 要 功能 是 管理 NFS 的 文件 系统 。 当 客户 
端 顺利 地 通过 rpc.nfsd 登录 NFS 服务 器 后 ，rpc.mountd 会 读 取 NFS 的 配置 文件 /etc/exports 
来 对 比 客户 端的 权限 。 

@ portmap: portmap 的 主要 功能 是 进行 端口 映射 工作 。 当 客户 端 尝试 连接 并 使 用 RPC 
服务 器 提供 的 服务 (如 NFS 服务) 时 ，portmap 会 将 所 管理 的 与 服务 对 应 的 端口 号 提供 给 客 
户 端 ， 从 而 使 客户 端 可 以 通过 该 端口 向 服务 器 请 求 服务 。 


第 6 章 


1. 填空 题 


(1) 域名 与 瑟 地 址 
(2) ps -ef | grep named 
(3) 正 向 区 域 数据 库 ， 反 向 区 域 数据 库 ， 根 域 数 据 库 文件 
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2. 选择 题 


(DC 
(2)A 
(G3)C 
(WB 
(G)D 
(6) BC 
(7) ABD 
(8) BC 


3. 简 答 题 


(1) 用 户 要 想 通 过 使 用 InternetExplorer 来 访问 万 维 网 服务 器 ， 则 用 户 必 须 首 先 获 的 与 
万 维 网 服务 器 的 正式 域名 相关 的 P 地 址 ， 依 靠 DNS 及 WINS 将 主机 名 称 转换 为 卫 地 
址 ， 这 个 过 程 被 称 为 主机 名 称 解析 (NameResolution)。 一 旦 用 户 的 计算 机 将 WWW 服务 器 
的 正式 名 称 解 析 为 它 的 他 地 址 ， 它 就 可 以 与 WWW 服务 器 建立 起 TCP/IP 网 络 通信 。 

(2) 将 主机 名 称 转换 为 P 地 址 ， 这 个 过 程 被 称 为 主机 名 称 解 析 ( 域 名 解析 )。 

(3) 当局 部 DNS 服务 器 自己 不 能 回答 客户 机 的 DNS 查询 时 ， 它 就 需要 向 其 他 DNS 
服务 器 进行 查询 。 局 部 DNS 服务 器 自己 负责 向 其 他 DNS 服务 器 进行 查询 ， 一 般 是 先 向 该 
域名 的 根 域 服 务 器 查询 ， 再 由 根 域名 服务 器 一 级 级 向 下 查询 。 最 后 得 到 的 查询 结果 返回 给 
局 部 DNS 服务 器 ， 再 由 局 部 DNS 服务 器 返回 给 客户 端 。 


第 7 章 


1. 填空 题 


(1) /etc/samba/smb.conf 

(2) system-config-samba 

(3) 该 用 户 在 系统 中 已 经 存在 
(4) Server Message Block 


2. 选择 题 

(DB 

(2)B 

G3)D 

(4) ACD 

(5)AB 

3. 简 答题 

(1) Samba 服务 器 的 配置 步骤 : 

Q@ 检查 Samba 服务 软件 包 是 否 安装 ， 入 未 安装 则 需要 先 安装 samba 服务 软件 包 。 
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@ 根据 需要 创建 共享 目录 。 

@ 修改 smb.conf 主 配置 文件 中 相应 参数 。 

@ 创建 Samba 访问 用 户 ， 如 服务 器 只 开启 匿名 访问 ， 则 此 步骤 跳 过 。 

@ 启动 Samba 服务 器 。 

@ 编辑 防火 墙 规则 或 者 关闭 防火 墙 。 并 使 SELinux 允许 Samba 服务 运行 。 
@ 在 客户 端 对 Samba 服务 器 进行 测试 。 

(2) 可 实现 在 Linux、Unix、Windows 之 间 共 享 文件 。 


第 8 章 


1. 填空 题 


(1) 通用 资源 标志 符 Uniform Resource Identifier 
(2) 静态 Web 服务 ， 动 态 Web 服务 


2. 选择 题 


(DA 
(2)D 


3. 简 答题 
(1) 要 启动 WWW 服务 ， 需 要 执行 命令 : 


# /etc/rc.d/init.d/httpd -k start 
要 停止 WWW 服务 ， 应 输入 命令 : 
# /etc/rc.d/init.d/httpd -k stop 


要 重新 启动 www 服务 ， 应 输入 命令 : 
# /etc/rc.d/init.d/httpd -k restart 


要 查看 WWW 服务 是 否 运行 ， 应 输入 命令 : 

# ps aux | grep httpd 

(2) Apache 支持 两 种 类 型 的 虚拟 主机 .基于 人 P 的 虚拟 主机 和 基于 名 字 的 虚拟 主机 。 基 
于 IP 的 虚拟 主机 要 求 有 多 个 合法 的 人 P 地 址 ， 而 基于 名 字 的 虚拟 主机 则 不 受 人 P 地 址 的 限 
制 ， 允 许 用 户 创建 无 限 多 个 虚拟 主机 。 


4. 操作 题 


(1) 请 参考 8.7.2 节 的 内 容 ， 在 httpd.conf 中 配置 目录 访问 权限 。 

(2) 请 参考 8.6.2 节 的 内 容 ， 在 httpd.conf 中 分 别 为 两 个 人 P 地 址 配置 虚拟 主机 。 
(3) 请 参考 8.8.1 节 的 内 容 ， 按 照 讲 述 的 操作 步骤 安装 即 可 。 

(4) 请 参考 8.8.2 节 的 内 容 ， 按 照 讲 述 的 操作 步骤 安装 即 可 。 

(5) 请 参考 8.8.3 节 的 内 容 ， 按 照 讲 述 的 操作 步骤 安装 即 可 。 
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第 9 章 


1. 填空 题 


(1) File Transfer Protocol， 文 件 传输 协议 
(2) POST( 主 动 ) 模 式 ，RASV( 也 称 被 动 ) 模 式 


2. 选择 题 
(DD 
(2)B 
(3)B 


3. 简 答题 


(1) 在 安装 操作 系统 时 ， 如 果 选 择 作 为 服务 器 ， 系 统 将 自动 安装 VsFTPd FTP 程序 。 
要 使 fp 服务 能 够 启动 ， 单 击 “ 主 菜单 ”一 “系统 设置 ”一 “服务 器 设置 ”一 “ 服 
务 ”， 或 在 终端 方式 下 输入 命令 “redhat-config-services”， 屏 幕 上 将 出 现 “ 服 务 配置 工 
具 ” 对 话 框 ， 找 到 并 启动 VsFTPd 服务 。 

VsFTPd 的 主要 配置 文件 是 /etc/vsftpd/vsftpd.conf。 

(2) 是 在 /etc/services 里 面 设置 的 ， 此 外 ， 正 规 的 ports 在 command 是 21 而 data 
是 20。 


第 10 章 


1. 填空 题 


(1) Sendmail, Postfix, Qmail 
(2) main.cf, /etc/postfix 


2. 选择 题 


(DA 
(2) ABC 


3. 简 答 题 


(1) MUA: 邮件 用 户 代 理 (Mail User Agent) 是 在 邮件 使 用 终端 上 运行 的 程序 ， 主 要 负责 
编辑 和 发 送 邮件 ， 以 及 从 服务 器 上 下 载 、 管 理 、 阅 读 和 处 理 邮 件 。 目 前 常用 的 邮件 用 户 代 
理 在 Windows 平台 主要 有 Outlook 、Foxmail 、Dreammail 等 ; Linux 平台 主要 有 
Evolution、Thunderbird、KMail 等 。 

MTA: 邮件 传输 代理 (Mail Transfer Agent) 主 要 用 于 存储 和 发 送 邮 件 ， 也 可 以 说 成 是 邮 
件 服务 器 软件 的 总 称 ， 如 Sendmail、Postfix、Qmail、Exim 等 。 一 台 服 务 器 可 以 安装 多 个 
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MTA， 但 同一 时 刻 只 能 有 一 个 MTA 工作 。 

(2) 请 参考 10.1.2 节 的 内 容 。Postfix 服务 器 与 Sendmail 服务 器 相 比 ， 安 全 性 更 强 ， 功 能 
更 加 完善 ， 同 时 又 兼容 使 用 最 广泛 的 Sendmail 服务 器 。ostfix 服务 器 与 Qmail 服务 器 相 
比 ， 功 能 更 加 强大 ， 支 持 软件 更 加 丰富 。 


4. 操作 题 
(1) 


Vi /etc/postfix/main.cf 

myhostname = tl.ckhitler.org 

myorigin = $myhostname 

inet interfaces = all 

mydestination = $myhostname,1localhost 
mynetworks = 127.0.0.0/8, 192.168.6.0/24 
relay domains = $mydestination 

alias maps = hash:/etc/postfix/aliases 
alias database = hash:/etc/postfix/aliases 


保存 退出 
service postfix restart 


发 送 邮 件 给 root 


echo "testing..."|mail -s "from ckhitler" root 


检查 邮件 


Mail 


(2) 请 参考 10.2 节 内 容 。 
(3) 请 参考 10.3 节 内 容 。 


第 11 章 


1. 选择 题 


(DC 
(DB 
G)BD 
(WD 
(5)B 
(OA 
OC 
(8) AD 
(9) BC 


2. 判断 题 
对 
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3. 简 答 题 


(1) 防火 墙 是 建立 在 内 外 网 络 边 界 上 的 过 滤 封 锁 机 制 。 一 般 来 说 ， 内 部 网 络 被 认为 是 
安全 和 可 信赖 的 ， 而 外 部 网 络 被 认为 是 不 安全 和 不 可 信赖 的 。 防 火 墙 的 作用 是 防止 不 希望 
的 、 未 经 授权 的 通信 进出 被 保护 的 网 络 ， 人 迫使 一 个 组 织 强化 自己 的 网 络 安全 策略 ， 被 认为 
是 在 可 信 的 内 部 网 络 和 不 安全 可 信 的 外 部 网 络 之 间 提 供 的 一 个 强化 内 部 网 络 的 安全 政策 。 

(2) Iptables 的 作用 就 是 添加 Netfilter 提供 规则 ， 这 些 规则 告诉 Netfilter 对 于 从 某 些 地 
方 来 、 到 某 些 地 方 去 的 或 者 具有 某 些 特定 特征 的 数据 包 采 用 什么 样 的 动作 。 如 果 一 个 数据 
包 与 一 条 规则 匹配 ， 那 么 Netfilter 上 的 钩子 函数 就 会 使 用 规则 所 指定 的 目标 (ACCEPT、 
REJECT、DROP) 允 许 该 数据 包 通 过 或 者 阻塞 该 数据 包 。 

(3) NAT 为 网 络 地 址 转换 。 借 助 NAT， 使 用 私有 人 P 地 址 的 内 部 网 络 通过 路 由 器 或 防 
火 墙 向 外 发 送 数据 时 ， 私 有 卫 地 址 会 被 转换 为 合法 的 公有 卫 地 址 ， 而 当 返 回 的 数据 包 到 
达 路 由 器 或 防火 墙 时 ， 再 将 公有 卫 转换 为 私有 人 P 地 址 。 所 以 一 个 局 域 网 只 需要 有 少量 合 
法 全 即 可 实现 多 台 机 器 联网 的 需求 。NAT 极 大 程度 上 解决 了 IPv4 地 址 匮乏 的 问题 。 


